Im ersten Teil unserer Workshop-Serie haben wir Ihnen gezeigt, wie Sie unter Windows 2003 die Ereignisanzeige richtig nutzen und welche Funktionstests bei gängigen Problemen am sinnvollsten sind. Im zweiten Teil gehen wir unter anderem darauf ein, wie Sie Schwierigkeiten bei der Kerberos-Authentifizierung beheben und wie Sie mit netdiag erfolgreich Ihr Netzwerk analysieren.

Kerberos-Probleme beheben
Unter manchen Umständen können auch Probleme in der Kerberos-Authentifzierung auf den Servern auftreten. Diese Fehler äußern sich häufig in netdiag und dcdiag bei fehlgeschlagenen Tests bezüglich LDAP, Kerberos oder Binding. Oft liegen in diesem Bereich Probleme mit dem Domänenkennwort des Domänencontrollers oder des Servers vor. Sie können das Maschinenkennwort eines Domänencontrollers oder eines Mitgliedsservers jederzeit zurücksetzen. Die Version von dcdiag, die mit dem Service Pack 1 für Windows Server 2003 ausgeliefert wird, enthält einen neuen Test, mit dem sich dieses Problem aufzeigen lässt.

Öffnen Sie eine neue Befehlszeile und geben Sie den Befehl

dcdiag /test:CheckSecurityError /s:{Name des betroffenen Domänencontrollers}

ein. Führen Sie den Test aus, überprüft dcdiag für diesen Domänencontroller, ob irgendeine Active Directory-Replikationsverbindung Schwierigkeiten mit der Übertragung von Kerberos hat. Sie erhalten eine detaillierte Ausgabe aller Probleme, die der Quell-Domänencontroller bei der Replikation im Zusammenhang mit Kerberos hat.

Diese Ausgabe ist eine wertvolle Hilfe bei der Suche nach Problemen im Active Directory. Erhalten Sie beim Testen mit dcdiag und netdiag Fehler bezüglich der genannten Tests, sollten Sie das Maschinenkennwort des Domänencontrollers zurücksetzen. Gehen Sie dabei folgendermaßen vor:

1. Beenden Sie den Dienst Kerberos-Schlüsselverteilungscenter.
2. Setzen Sie den Dienst auf manuell.
3. Geben Sie in der Befehlszeile folgenden Befehl ein: netdom resetpwd /server:{Ein
4. Domänencontroller der Domäne, der noch funktioniert} /userd:{Administratorkonto der Domäne} /password:{Kennwort des Administrators}
5. Der Befehl darf keine Fehlermeldung zurückgeben, sondern sollte die erfolgreiche Ausführung melden.
6. Starten Sie den Server durch.
7. Starten Sie den Dienst Kerberos-Schlüsselverteilungscenter und setzen Sie ihn wieder auf automatisch.

Überprüfen Sie dann mit dcdiag und netdiag, ob die Verbindungsprobleme dadurch behoben sind.

Netzwerkdiagnose mit netdiag
Die Netzwerkdiagnose mit netdiag dient nicht nur der Überprüfung von Domänencontrollern. Sie können diesen Test auch auf Mitgliedsservern starten. Vor allem auf Exchange-Servern sollte dieser Test nach der Installation durchlaufen. Auch hier wird Ihnen die Ausgabe in der Befehlszeile angezeigt. Sie können das Tool zur Diagnose sowohl von neuen Mitgliedsservern als auch von Domänencontrollern in Ergänzung zu dcdiag verwenden. Treten Probleme bei der Installation von Applikationen auf Mitgliedsservern auf, die auf die Authentifizierung mit dem Active Directory schließen lassen, bietet dieses Tool auch wertvolle Hilfe.

Zusätzlich lassen sich mit netdiag Fehler in der DNS-Konfiguration der Zonen Ihres Active Directorys reparieren, wenn zum Beispiel Einträge verschwunden sind. Das Werkzeug deckt schnell Probleme auf, wenn ein Mitgliedsserver Probleme bei der Domänenanbindung hat und kann sicherstellen, dass ein Server sauber mit der Domäne verbunden ist. Hier nun eine Musterausgabe dieses Tools mit entsprechenden Kommentaren:

Computer Name: DC01
DNS Host Name: dc01.contoso.com
System info : Microsoft Windows
Server 2003 R2 (Build 3790)
Processor : x86 Family 15 Model
31 Stepping 0, AuthenticAMD
List of installed hotfixes :
Q147222

An dieser Stelle werden alle relevanten Informationen zu einem Server sowie die Liste der Hotfixes ausgegeben.

Netcard queries test . . . . . . . : Passed
GetStats failed for 'Parallelanschluss (direkt)'.
[ERROR_NOT_SUPPORTED]

Erscheinen bei einigen Anschlüssen und WAN-Miniports Fehlermeldungen, ist das nebensächlich. Diese Tests spielen für Server in den wenigsten Fällen eine Rolle.

[WARNING] The net card 'WAN-Miniport (PPTP)' may not be working
 because it has not received any packets.
[WARNING] The net card 'WAN-Miniport (PPPOE)' may not be working
 because it has not received any packets.
[WARNING] The net card 'WAN-Miniport (IP)' may not be working
 because it has not received any packets.
GetStats failed for 'WAN-Miniport (L2TP)'.
[ERROR_NOT_SUPPORTED]
Per interface results:
Adapter : LAN-Verbindung

An dieser Stelle werden die Netzwerkkarte und die IP-Einstellungen getestet. Für eine schnelle Diagnose der IP-Einstellungen eines Servers ist dieser Test sehr wichtig und sollte auf "Passed" stehen.

Netcard queries test . : Passed
Host Name. . . . . . . : dc01
IP Address . . . . . . : 10.0.0.11
Subnet Mask. . . . . : 255.255.255.0
Default Gateway. . . . : 10.0.0.1
Primary WINS Server. . : 10.0.0.15
Dns Servers. . . . . . : 10.0.0.11
IpConfig results . . . . . : Passed

Hier wird überprüft, ob alle Server auch angepingt und erreicht werden können, die in den IP-Einstellungen hinterlegt sind. Auch hier sollte auf jeden Fall "Passed" stehen.

Default gateway test . . . : Passed

Steht auf "Failed", wenn kein Standard-Gateway hinterlegt ist. Wenn das absichtlich geschieht, ist das in Ordnung.

Domain membership test . . . . . . : Passed

Dieser Test sollte selbstverständlich auf "Passed" stehen. Wenn dieser Test "Failed" ausgibt, liegt ein Problem mit dem Computerkonto dieses Servers in der Domäne vor.

DNS test . . . . . . . . . . . . . : Passed
PASS - All the DNS entries for DC are registered
 on DNS server '10.0.0.11' and other DCs also
 have some of the names registered.

Hier wird überprüft, ob der Servername im DNS auch richtig registriert ist und aufgelöst werden kann. Dieser Test sollte auf jeden Fall auf "Passed" stehen.

DC discovery test. . . . . : Passed

Hier überprüft netdiag, ob es alle Domänencontroller in der Domäne findet. Dieser
Test muss immer auf "Passed" stehen.

DC list test . . . . . . . : Passed

Dieser Test muss auf "Passed" stehen, damit sichergestellt ist, dass alle Domänencontroller der Domäne kontaktiert (und nicht nur gefunden) werden können.

Kerberos test. . . . . . . : Passed

Auch dieser Test muss auf "Passed" stehen. Wenn hier "Failed" steht, erhält der Server keine Kerberos-Tickets und kann keine Benutzer authentifizieren.

LDAP test. . . . . . .. . . : Passed

Damit ist sicher, dass die Domänencontroller per LDAP erreichbar sind – ein "Passed" ist hier ein Muss.

[WARNING] Failed to query SPN registration on DC 'DC04.contoso.com'.

Wenn ein Domänencontroller aus der DC-Liste nicht kontaktiert werden kann, erscheint ein Fehler. Diesem Fehler sollten Sie nachgehen. Wird dabei nur einer von vielen DCs nicht gefunden, liegt es wahrscheinlich an diesem Domänencontroller und nicht am lokalen. Kann das Tool keine anderen DCs finden, liegt ein lokales Problem vor, das Sie lösen müssen.

Bindings test. . . . . . : Passed

Auf die Domänencontroller kann per LDAP zugegriffen und eine Verbindung hergestellt werden. Muss auf "Passed" stehen.

                                                Seite 1 von 2                     Nächste Seite>>

ln/dr/Thomas Joos