Active Directory Workshop, Teil 5

Administration von Domänen und AD-Strukturen

| Autor / Redakteur: Thomas Joos / Andreas Donner

Ein Active Directory ist ein lebendes Gebilde und muss daher ständig auf fehlerfreie Funktion überprüft werden.
Ein Active Directory ist ein lebendes Gebilde und muss daher ständig auf fehlerfreie Funktion überprüft werden. (Bild: Joos)

Damit ein Active Directory fehlerfrei funktioniert, müssen die Domänen-Controller regelmäßig gewartet werden. Eine Überprüfung der Funktionsfähigkeit sollte regelmäßig auch für die Replikation der Domänen-Controller, die richtige Namensauflösung und anderer Problemstellen erfolgen. Wir geben Tipps.

Beim produktiven Einsatz von Active-Directory-Domänen sollten mehrere Controller zum Einsatz kommen. Die Domänen-Controller müssen sich darüber hinaus miteinander replizieren können.

Steuern der Replikation

Das Active Directory verwendet einen integrierten Dienst, der die Replikation innerhalb und zwischen Standorten automatisch steuert. Dieser Dienst, Konsistenzprüfung (Knowledge Consistency Checker, KCC) genannt, verbindet die Domänen-Controller der verschiedenen Standorte, und erstellt automatisch eine Replikationstopologie auf Basis der definierten Zeitpläne und Standortverknüpfungen.

Die Replikation zwischen verschiedenen Standorten in Active Directory läuft weitgehend automatisiert ab. Das wichtigste Verwaltungswerkzeug, um Standorte in Active Directory zu verwalten, ist das Snap-In „Active Directory-Standorte und -Dienste“ (siehe: Abbildung 1). Um neue Standorte zu erstellen, müssen Administratoren Mitglied der Gruppe „Organisations-Administratoren“ sein.

Nachdem die Routing-Topologie erstellt ist, werden neu installierte Domänen-Controller durch ihre IP-Adresse automatisch dem richtigen Standort zugewiesen. Bereits installierte Domänen-Controller müssen jedoch manuell an den richtigen Standort verschoben werden.

Die Replikationsverbindungen richtet „Windows Server 2016“ automatisch ein. Diese sind im Snap-In „Active Directory-Standorte und -Dienste“ über „Sites/<Standort>/<Servers>/<Servername>/NTDS-Settings“ zu sehen.

Fehler bei der Active-Directory-Replikation

Bei der Fehlersuche bezüglich der Replikation sollten zunächst die beteiligten Domänen-Controller überprüft und getestet werden. Der nächste Schritt sollte der Blick in die Ereignisanzeige und in das Verzeichnisdienst-Protokoll sein. Hier muss vor allem auf Fehler der Quellen NTDS KCC, NTDS Replication und NTDS General geachtet werden.

Bei Problemen mit der Active-Directory-Replikation sollte einer Fehlersuche immer eine vollständige Diagnose der Domänen-Controller vorausgehen. Eine Skizze der Replikationsverbindungen der Domänen-Controller kann hier ebenfalls helfen. So kann festgestellt werden, welche sich nicht mit anderen Domänen-Controllern replizieren können (siehe: Abbildung 2).

In der Eingabe-Aufforderung wird dazu der Befehl „nltest /dsgetsite“ eingegeben. In der Anzeige ist daraufhin zu sehen, welchem Standort der Domänen-Controller zugewiesen ist, und ob er seinen Standort erkennt.

Ausschließen der häufigsten Fehlerursachen

Bevor mit Tools die Replikation genauer untersucht wird, sollten die häufigsten Fehlerursachen ausgeschlossen werden:

  • Liegt auf dem Domänen-Controller, der sich nicht mehr replizieren kann, ein generelles Problem vor, welches sich mit „Dcdiag“ in der Befehlszeile herausfinden lässt?
  • Wurde auf dem Domänen-Controller eine Software installiert, welche die Replikation stören kann, zum Beispiel Sicherheitssoftware, Virenscanner oder Firewall?
  • Ist auf dem Domänen-Controller Hardware ausgefallen?
  • Liegt ein Leitungs-, Router- oder Firewall-Problem vor?
  • Lassen sich der Domänen-Controller `anpingen` und der DNS-Name des Servers auflösen?
  • Gibt es Probleme mit der Authentifizierung zwischen den Domänen-Controllern, die durch „Zugriff verweigert“-Meldungen in Erscheinung treten? Die Version von Dcdiag, die mit Windows Server 2016 ausgeliefert wird, enthält einen Test, mit dem sich Replikationsprobleme anzeigen lassen, die von Kerberos-Problemen verursacht werden: „dcdiag /test:CheckSecurityError /s:<Name des Domänen-Controllers, der Probleme hat>
  • Wurden Änderungen an der Routing-Topologie vorgenommen, die eine Replikation verhindern können?

Das wichtigste Tool, um die Replikation in Active Directory zu überprüfen ist „Repadmin“. In der Eingabe-Aufforderung muss dazu der Befehl „repadmin /showreps“ eingegeben werden.

Jeder Domänen-Controller in Active Directory hat neben seinem Host-A-Namen, zum Beispiel „dc01.contoso.int“, noch einen zugehörigen CNAME, der das so genannte DSA-Objekt (Directory System Agent) seiner NTDS-Settings darstellt. Sollte die Replikation nicht funktionieren, weil unterhalb der Active-Directory-DNS-Domäne _msdcs-Einträge fehlen, können Administratoren in der Eingabe-Aufforderung durch Eingabe des Befehls „dcdiag /fix“ die Einträge wiederherzustellen.

Fehlerbehebung und Namensauflösung

Für die Namensauflösung kann „Nslookup“ in der Befehlszeile verwendet werden, oder die Cmdlets in der Powershell, zur Verwaltung von DNS, zum Beispiel „Resolve-DNSName“. Das wichtigste Tool für die Diagnose von Domänen-Controllern ist jedoch „dcdiag“. Eine ausführliche Diagnose wird mit der Syntax „dcdiag /v“ durchgeführt.

Mit „dcdiag /a“ werden alle Domänen-Controller am gleichen Active-Directory-Standort überprüft, mit „dcdiag /e“ werden alle Server in der Gesamtstruktur getestet. Um sich nur die Fehler und keine Informationen anzeigen zu lassen, wird „dcdiag /q“ verwendet. Die Option „dcdiag /s:<Domänen-Controller>“ ermöglicht den Test eines Servers über das Netzwerk.

Die Namensauflösung ist einer der wichtigsten Bereiche für die Diagnose von Active-Directory- und Windows-Netzwerken. Ein wichtiger Test in Active Directory besteht darin, in der Eingabeaufforderung „nslookup“ einzutippen. An dieser Stelle sollte kein Fehler auftreten. Sollte der Server noch nicht registriert sein, kann mit „ipconfig /registerdns“ in der Eingabe-Aufforderung eine erneute automatische Registrierung beim DNS-Server durchgeführt werden.

Wenn ein Server-Name nicht aufgelöst werden kann, hilft eine strukturierte Vorgehensweise:

  • Ist in den IP-Einstellungen des Rechners, auf dem die Namensauflösung getestet wird der richtige DNS-Server eingetragen?
  • Verwaltet der bevorzugte DNS-Server die Zone, in der eine Namensauflösung durchgeführt wird?
  • Wenn der Server diese Zone nicht verwaltet, ist dann auf der Registerkarte „Weiterleitungen“ in den Eigenschaften des Servers ein Server eingetragen, der die Zone auflösen kann?
  • Wenn eine Weiterleitung eingetragen ist, kann dann der Server, zu dem weitergeleitet wird, die Zone auflösen?
  • Wenn dieser Server erneut nicht für die Zone verantwortlich ist, leitet er dann wiederum die Anfrage weiter?

Überprüfen der Domänen-Controller-Liste

In der Eingabe-Aufforderung wird mit dem Befehl „nltest /dclist:<NetBIOS-DOMÄNENNAME>“ die Liste der Domänen-Controller abgefragt (siehe: Abbildung 3), zum Beispiel „nltest /dclist:Joos“. Alle Domänen-Controller sollten mit ihren vollständigen Domänennamen ausgegeben werden.

Werden einzelne Domänen-Controller nur mit ihrem NetBIOS-Namen angezeigt, sollte deren DNS-Registrierung auf den DNS-Servern überprüft werden. Auch der Befehl „nltest /dsregdns“ hilft oft bei Problemen in der DNS-Registrierung.

Verwaltung von Benutzerkonten

Im Kontextmenü eines angelegten Benutzers (siehe: Abbildung 4) in „Active Directory-Benutzer und -Computer“ stehen eine Reihe von Konfigurationsmöglichkeiten zur Verfügung (siehe: Abbildung 5). Mit dem Befehl „Kopieren“ lassen sich die meisten Einstellungen eines Benutzerkontos in ein neues Konto übernehmen.

Der Befehl „Konto deaktivieren“ kann verwendet werden, um die zeitweilige Deaktivierung eines Kontos durchzuführen. Das Konto bleibt mit allen Einstellungen erhalten, kann aber nicht zur Anmeldung genutzt werden.

Zusätzlich gibt es die beiden Befehle „Löschen“ und „Umbenennen“. Mit diesen kann ein Benutzerkonto gelöscht oder der vollständige Name des Benutzers verändert werden.

AD für Einsteiger – Wozu dient der Verzeichnisdienst

Active Directory Workshop, Teil 1

AD für Einsteiger – Wozu dient der Verzeichnisdienst

09.05.18 - Unternehmen, die ein Netzwerk mit mehreren Client-Computern betreiben und ihren Anwendern individuell angepassten Zugriff auf diese Computer und auf Freigaben im Netzwerk geben wollen, kommen kaum um einen Verzeichnisdienst herum. Active Directory (AD) hat sich zum De-facto Standard entwickelt. Hier ein Einstieg. lesen

Server-Rollen im Überblick

Active Directory Workshop, Teil 2

Server-Rollen im Überblick

11.05.18 - Active Directory (AD) besteht nicht nur aus Domänen-Controller, sondern aus einer Vielzahl weiterer Server-Dienste, die ein gemeines Verzeichnis nutzen, aber jeweils eigene Funktionen zur Verfügung stellen. Hier ein Überblick: lesen

*Thomas Joos ist freier Autor, schreibt IT-Fachbücher und -Artikel sowie seinen eigenen Blog auf Datacenter-Insider „Toms Admin-Blog“.

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45302328 / Software)