Suchen

Fehler zwischen Domänencontrollern diagnostizieren Fehler bei der Active Directory-Replikation beheben

Autor / Redakteur: Thomas Joos / Peter Schmitz

Häufige Fehlerursache in einem Active Directory ist die Replikation. Bei der Fehlersuche sollten Administratoren zunächst die beteiligten Domänencontroller überprüfen und testen, ob diese innerhalb ihres Standortes funktionieren. Windows Server 2008 R2/2012 helfen bei der Diagnose solcher Probleme. Wir zeigen welche Tools hilfreich sind und wie Administratoren Fehler diagnostizieren.

Firmen zum Thema

Troubleshooting von AD-Replikationsproblemen. Windows Server 2008 R2 und dem Windows Server 2012 helfen bei der Diagnose solcher Probleme mit praktischen Tools und Bordmitteln.
Troubleshooting von AD-Replikationsproblemen. Windows Server 2008 R2 und dem Windows Server 2012 helfen bei der Diagnose solcher Probleme mit praktischen Tools und Bordmitteln.
(Jeff Metzger - Fotolia)

Der erste Schritt bei der Diagnose von Problemen sollte der Blick in die Ereignisanzeige und das Protokoll Verzeichnisdienst sein. Vor allem Fehler von NTDS KCC, NTDS Replication oder NTDS General deuten auf Replikationsprobleme hin.

Bereits mit Hilfe dieser Fehlermeldungen können Administratoren im Internet eine Lösung für das Problem finden. Hilfreich sind hier vor allem die Seiten www.eventid.net, www.experts-exchange.com und support.microsoft.com.

Bildergalerie
Bildergalerie mit 6 Bildern

Bei Problemen mit der Active Directory-Replikation sollte immer eine vollständige Diagnose der Domänencontroller vorausgehen. Auch eine Skizze der Replikationsverbindungen der Domänencontroller ist sinnvoll.

In Windows Server 2012 hat Microsoft die PowerShell integriert und das neue Modul für die Verwaltung von Active Directory. Auch neue CMDlets um die Installation und Betrieb von Active Directory zu testen hat Microsoft integriert.

Dazu gibt es die neuen CMDlets Test-ADDSDomainControllerInstallation, Test-ADDSDomainControllerUnInstallation, Test-ADDSDomainInstallation, Test-ADDSForestInstallation und Test-ADDSReadOnlyDomainControllerUnInstallation.

Zunächst laden Administratoren dazu das entsprechende Modul mit Import-Module ADDSDeployment. Die Befehle lassen sich zum Beispiel mit get-command *adds* anzeigen, oder mit dem Befehl Get-Command -Module ADDSDeployment.

Details zum Troubleshooting von AD-Replikationsproblemen lesen Sie in der Bilderstrecke. Klicken Sie dazu einfach auf das Teaser-Bild dieses Beitrags!

Suche mit der Active Directory-Diagnose

Wenn die Replikationen zu Domänencontrollern im gleichen Standort funktionieren und auch die Replikation zu anderen Standorten, lässt sich das Problem besser eingrenzen. An dieser Stelle können Administratoren mit dcdiag.exe die problematischen Domänencontroller genauer untersuchen.

Bevor die Replikation genauer untersucht wird, sollten Administratoren zunächst die gravierendsten und häufigsten Fehlerursachen ausschließen:

  • Liegt auf dem Domänencontroller, der sich nicht mehr replizieren kann ein generelles Problem vor, welches sich mit dcdiag.exe herausfinden lässt. Liegen also die Probleme überhaupt nicht in der Replikation, sondern hat der Domänencontroller eine Funktionsstörung?
  • Wurde auf dem Domänencontroller eine Software installiert, welche die Replikation stören kann, wie Sicherheitssoftware, Virenscanner, Firewall oder sonstiges?
  • Ist auf dem Domänencontroller, mit dem die Replikation nicht mehr stattfinden kann, die Hardware ausgefallen?
  • Liegt unter Umständen nur ein Leitungs-, Router- oder Firewallproblem vor?
  • Lässt sich der entsprechende Domänencontroller noch anpingen und lässt sich der DNS-Name des Servers auflösen?
  • Gibt es generelle Probleme mit der Authentifizierung zwischen den Domänencontrollern, die durch Zugriff veweigert-Meldungen gemeldet werden?
  • Sind die Replikationsintervalle zwischen Standorten so kurz eingestellt, dass die vorherige Replikation noch nicht abgeschlossen ist, und die nächste bereits beginnt?
  • Wurden Änderungen an der Routingtopologie vorgenommen, die eine Replikation verhindern können?

Details zum Troubleshooting von AD-Replikationsproblemen lesen Sie in der Bilderstrecke. Klicken Sie dazu einfach auf das Teaser-Bild dieses Beitrags!

dcdiag.exe enthält einen neuen Test, mit dem sich Replikationsprobleme anzeigen lassen, die von Kerberosproblemen verursacht werden.

Öffnen Administratoren eine neue Eingabeaufforderung und geben den Befehl dcdiag /test:CheckSecurityError /s:<Name des Domänencontrollers, der Probleme hat> ein, überprüft dcdiag.exe für diesen Domänencontroller, ob irgendeine Active Directory-Replikationsverbindung Probleme mit der Übertragung von Kerberos hat.

Der Befehl gibt eine detaillierte Ausgabe aller Probleme an, die der Quell-Domänencontroller bei der Replikation im Zusammenhang mit Kerberos hat. Die Ausgabe dieser Probleme ist eine wertvolle Hilfe bei der Suche nach Problemen im Active Directory. Oft spielen auch Sicherheitsprobleme bei der Replikation von Domänencontrollern eine Rolle. In diesem Fall erscheinen häufig Fehlermeldungen der Art »Zugriff verweigert«.

Falls Replikationsprobleme in Active Directory auftreten, sollten Administratoren zunächst sicherstellen, dass die Domänencontroller, die Probleme bei der Replikation haben, für den richtigen Standort konfiguriert sind. Hier hilft der Befehl nltest /dsgetsite.

In der Anzeige ist zu sehen, welchem Standort der Domänencontroller zugewiesen ist, und ob er seinen Standort auch erkennt. Wird an dieser Stelle der Standort fehlerfrei aufgelöst, ist diese Konfiguration schon mal in Ordnung. Mit nltest /dclist:<NetBios-Name der Domäne> lassen sich Administratoren eine Liste aller Domänencontroller einer entsprechenden Domäne anzeigen.

Die Einträge sollten als FQDN aufgelistet sein. Ebenfalls ein wichtiger Befehl ist nltest /dsgetdc:<NetBios-Name der Domäne>. Dieser Befehls listet Name, IP-Adresse, GUID, FQDN des Active Directory und weitere Informationen auf. Alle Informationen sollten ohne Fehler angezeigt werden.

Details zum Troubleshooting von AD-Replikationsproblemen lesen Sie in der Bilderstrecke. Klicken Sie dazu einfach auf das Teaser-Bild dieses Beitrags!

Namensauflösung testen

Treten in Active Directory Fehler auf, sollten Adminstratoren überprüfen, ob sich die beteiligten Server im DNS auflösen können. Das Befehlszeilenprogramm Nslookup hilft dabei. Wenn ein Servername mit Nslookup nicht aufgelöst werden kann, sollten überprüft werden, wo das Problem liegt:

  • Ist in den IP-Einstellungen des Servers der richtige DNS-Server als bevorzugt eingetragen?
  • Verwaltet der bevorzugte DNS-Server die DNS-Zone von Active Directory?
  • Wenn der Server diese Zone nicht verwaltet, ist dann auf der Registerkarte Weiterleitungen in den Eigenschaften des Servers ein Server eingetragen, der die Zone auflösen kann?
  • Wenn eine Weiterleitung eingetragen ist, kann dann der Server, zu dem weitergeleitet wird, die Zone auflösen?
  • Wenn dieser Server nicht für die Zone verantwortlich ist, leitet er dann wiederum die Anfrage weiter?

An irgendeiner Stelle der Weiterleitungskette muss ein Server stehen, der die Anfrage schließlich auflösen kann, sonst kann der Client keine Verbindung aufbauen, und die Abfrage des Namens wird nicht erfolgreich sein.

Anzeigen der Active Directory-Replikation

Das wichtigste Tool, um die Replikation im Active Directory zu überprüfen ist repadmin.exe. Geben Administratoren in der Befehlszeile den Befehl repadmin.exe/showreps ein, werden alle durchgeführten Replikationsvorgänge des Active Directorys angezeigt, sowie etwaige Fehler, die genau die Ursache für die nicht funktionierende Replikation anzeigen.

Die Anzeige lässt sich auch in eine Datei umleiten, durch Verwendung des Befehls repadmin/showreps >c:\repl.txt.

Details zum Troubleshooting von AD-Replikationsproblemen lesen Sie in der Bilderstrecke. Klicken Sie dazu einfach auf das Teaser-Bild dieses Beitrags!

Jeder Domänencontroller in Active Directory hat neben seinem Host A-Namen, zum Beispiel dc01.contoso.com, noch einen zugehörigen CNAME, der das so genannte DSA (Directory System Agent) -Objekt seiner NTDS-Settings darstellt.

Dieses DSA-Objekt ist als SRV-Record im DNS unterhalb der Zone der Domäne unter dem Menüpunkt _msdcs zu finden. Der CNAME ist die GUID dieses DSA-Objektes.

Domänencontroller versuchen Ihren Replikationspartner nicht mit dem herkömmlichen Host A-Eintrag aufzulösen, sondern mit dem hinterlegten CNAME. Sollte die Replikation nicht funktionieren, weil unterhalb der Active Directory-DNS-Domäne _msdcs-Einträge fehlen, können Administratoren in der Befehlszeile durch Eingabe des Befehls dcdiag /fix die Einträge wiederherzustellen.

Starten Administratoren mit net stop netlogon und dann net start netlogon den Anmeldedienst auf dem Domänencontroller neu, versucht der Dienst die Daten der Datei netlogon.dns aus dem Verzeichis \windows\system32\config\netlogon.dns erneut in DNS zu registrieren. Gibt es hierbei Probleme, finden sich im Ereignisprotokoll unter System Einträge des Dienstes der bei der Problemlösung weiterhilft.

Auch der Befehl nltest /dsregdns hilft oft bei Problemen in der DNS-Registrierung. Funktioniert die erneute Registrierung durch Neustart des Anmeldedienstes nicht, löschen Administratoren die DNS-Zone _msdcs und die erstellte Delegierung.

Beim nächsten Start des Anmeldedienstes, liest dieser die Daten von netlogon.dns ein, erstellt die Zone _msdcs neu und schreibt die Einträge wieder in die Zone. Mit dcdiag lassen sich danach die Probleme erneut diagnostizieren. Einen ausführlichen Test führen Administratoren mit dcdiag /v durch.

Details zum Troubleshooting von AD-Replikationsproblemen lesen Sie in der Bilderstrecke. Klicken Sie dazu einfach auf das Teaser-Bild dieses Beitrags!

(ID:34717800)