Seite 2 - Active Directory-Diagnose mit Bordmitteln (1)
Auch bei der Replikation zwischen Domänencontrollern können Fehler auftreten, die durch asynchrone Daten auffallen. Auch diese Fehler können Sie mit dcdiag beheben. Nach jeder Installation eines Domänencontrollers sollte dieses Tool ausgeführt werden, damit Sie den fehlerfreien Betrieb des Servers sicherstellen können. Im Folgenden gehen wir mit Ihnen die wichtigsten Informationen durch, die bei der Diagnose mit dcdiag eine Rolle spielen:
Domain Controller Diagnosis Performing initial setup: Done gathering initial info. Doing initial required tests Testing server: Default-First-Site-Name\DC1 Starting test: Connectivity ... DC1 passed test
Die Verbindung zum AD ist vorhanden. Hier muss auf jeden Fall "Passed" stehen. Dieser Test überprüft, ob der Domänencontroller im DNS registriert ist. Zusätzlich wird getestet, ob der Server per Ping, RPC und LDAP erreichbar ist.
Testing server: Default-First-Site-Name\DC1 Starting test: Replications ... DC1 passed test
Die Replikation mit anderen DCs muss auf jeden Fall funktionieren. Unter Umständen erscheint hier kurz nach der Installation eines DC noch ein "Failed", aber spätestens nach 30 bis 60 Minuten sollte hier "Passed" stehen.
Replications Starting test: NCSecDesc ... DC1 passed test NCSecDesc
Die Verbindung mit LDAP zum Active Directory ist vorhanden. Steht hier "Failed", liegt höchstwahrscheinlich ein DNS-Problem vor, oder der Domänencontroller hat ein Problem damit, sich mit dem Active Directory zu verbinden. Geben Sie ein negatives Ergebnis in eine Suchmaschine ein, erhalten Sie meist zahlreiche Möglichkeiten zur Fehlerbehebung.
Starting test: NetLogons ... DC1 passed test NetLogons
Die Anmeldung am Active Directory ist möglich, auch hier muss auf jeden Fall "Passed" stehen.
Starting test: Advertising ...DC1 passed test
Die Verbindung zum Active Directory ist mit Anmeldung möglich, daher muss auf jeden Fall auch hier "Passed" stehen. So ist sichergestellt, dass sich der DC im Active Directory als Domänencontroller angemeldet hat.
Advertising Starting test: KnowsOfRoleHolders ... DC1 passed test
Der DC kann alle notwendigen FSMO-Rollen im Active Directory finden (PDC-Emulator, RID-Master, Infrastruktur Master, Schemamaster, Domänennamenmaster). Werden einzelne Rollen nicht gefunden, liegt nicht zwingend ein Problem mit dem lokalen Domänencontroller vor, sondern vielleicht mit dem Rolleninhaber.
Starting test: MachineAccount ... DC1 passed test
Hier wird geprüft, ob das Computerkonto im Active Directory in Ordnung ist und ob das Computerkonto sich richtig registriert hat. Sie können über die Option "dcdiag /RecreateMachineAccount" eine Fehlerbehebung versuchen, wenn der Test fehlschlägt. Über "/FixMachine- Account" können Sie ebenfalls eine Fehlerbehebung versuchen. Eine weitere Option, die Fehler in diesem Bereich behebt, ist "/fix".
MachineAccount Starting test: Services ... DC1 passed test Services
Dieser Test überprüft, ob die notwendigen Systemdienste auf dem Domänencontroller gestartet wurden. Auch dieser Test muss erfolgreich bestanden werden.
Starting test: ObjectsReplicated ... DC1 passed test
Der DC hat alle Objekte des Active Directorys mit anderen DCs repliziert. Ein “Failed” bedeutet hier eine fehlerhafte Replikation.
ObjectsReplicated Starting test: frssysvol ... DC1 passed test
Dieser Test ist nicht ganz so wichtig. FRS (File Replication Service) ist dafür zuständig, dass Anmeldeskripte im Sysvol-Verzeichnis zwischen den verschiedenen DCs repliziert werden. Hier kann durchaus auch mal "Failed" stehen, die Replikation funktioniert meistens trotzdem – überprüfen Sie das anhand des Inhalts.
Starting test: kccevent ... DC1 passed test kccevent
Der Knowledge Consistency Checker stellt fest, dass der DC alle anderen DCs finden kann, um Replikationsverbindungen herzustellen. Der Test muss bestanden werden.
Starting test: systemlog ... DC1 passed test systemlog
Bei diesem Test werden Fehler aus der Ereignisanzeige abgeprüft. Genauere Erkenntnisse erlangen Sie, wenn Sie selbst im Systemprotokoll der Ereignisanzeige nachschauen. Schlägt dieser Test fehl, ist das nicht weiter schlimm. Er besagt nur, dass es Fehler in der Ereignisanzeige gibt. Sie sollten diese aber dennoch überprüfen und abstellen.
Auch folgende Tests sollten für alle Parameter (Schema, DomainDNSZones et cetera) auf jeden Fall auf "Passed" stehen:
- VerifyReferences
- CrossRefValidation
- CheckSDRefDom
- CrossRefValidation
- Intersite
- FsmoCheck
Hier werden wichtige Elemente von DNS und Active Directory getestet. Tauchen an dieser Stelle Fehler auf, geben Sie den Namen des Tests und das Ergebnis "Failed" in eine Suchmaschine ein. Sie erhalten dadurch gezielt Hinweise, worauf die Fehler beruhen können. Sie sollten keinesfalls einzelne Fehler ignorieren. Die Tests überprüfen verschiedene Querverweise der Domänen und Anwendungspartitionen im Active Directory.
Im zweiten Teil unseres Online-Workshops lesen Sie unter anderem, wie Sie Kerberos-Probleme beheben, das Netzwerk mit netdiag analysieren und die Betriebsmaster testen.
<<Vorherige Seite Seite 2 von 2
ln/dr/Thomas Joos