In den ersten beiden Folgen unserer Workshop-Serie haben wir uns damit beschäftigt, wie Sie unter Windows 2003 die Ereignisanzeige richtig nutzen und welche Funktionstests bei gängigen Problemen am sinnvollsten sind. Außerdem sind wir auf bekannte Schwierigkeiten bei der Kerberos-Authentifizierung eingegangen und haben erklärt, wie Sie mit netdiag erfolgreich Ihr Netzwerk analysieren. In diesem dritten Teil befassen wir uns hauptsächlich mit der Analyse von Replikationsfehlern und der nicht immer einfach zu durchschauenden DNS-Konfiguration.

Stellen Sie Probleme bei der Replikation der Benutzerdaten im Active Directory fest, oder werden in der Ereignisanzeige Fehler protokolliert, dass die Domänencontroller keine Daten austauschen können, sollten Sie die Standorte im Active Directory überprüfen. Hier ist es wichtig, dass jeder Domänencontroller seinem entsprechenden Standort zugewiesen worden ist und sich im entsprechenden Subnetz befindet. Jeder Standort sollte über ein eigenes Subnetz verfügen, jeder Domänencontroller sollte eine IP-Adresse im Subnetz seines Standortes haben und diesem Standort zugewiesen sein. Tauchen Probleme in dieser Hinsicht auf, äußert sich das meistens in Fehlern bei der Authentifizierung von Benutzern, oder dem E-Mailfluss beziehungsweise der Konfiguration und Installation von Exchange und anderen AD-abhängigen Serverlösungen.

Überprüfen der Active Directory-Standorte
Sie sollten bei Problemen oder grundsätzlich nach Installationen von Domänencontrollern überprüfen, ob die Domänencontroller dem jeweils richtigen Standort zugewiesen sind, und ob an jedem Standort ein Server zum globalen Katalog konfiguriert wurde. Haben Sie bereits mehrere Domänencontroller installiert, überprüfen Sie, ob Sie bei allen Domänencontrollern automatisch konfigurierte Replikationsverbindungen eingerichtet haben und ob diese auch funktionieren.


Bild 1: Anzeigen des zugeordneten Active Directory-Standortes in der Befehlszeile

Alle installierten Domänencontroller sollten angezeigt werden und sich ohne Fehler mit ihren Replikationspartnern replizieren lassen. Installieren Sie einen neuen Domänencontroller oder auch einen Mitgliedsserver, sollten Sie vor allem dann, wenn dieser auch als Exchange-Server arbeiten soll, in der Befehlszeile testen, ob dieser Server seinen Standort auflösen kann und richtig konfiguriert ist. Geben Sie dazu den Befehl nltest /dsgetsite ein. Es darf kein Fehler auftreten, sondern der Server muss seinen richtigen Standort ausgeben. Erscheinen an dieser Stelle Fehler, überprüfen Sie die IP-Einstellungen des Servers und die Konfiguration des bevorzugten DNS-Servers. Auch die IP-Subnetze und deren korrekte Zuordnung zu den richtigen Standorten sollte hier überprüft werden.

Überprüfen der Domänencontroller-Liste
Stellen Sie Fehler bei der Replikation der Benutzerdaten fest, oder können sich Anwender nicht authentifizieren, liegt es möglicherweise daran, dass einzelne Domänencontroller nicht korrekt mit dem Active Directory zusammenarbeiten. Auch nach der Installation eines neuen Domänencontrollers ist es sinnvoll zu testen, ob dieser alle anderen Domänencontroller im Netzwerk kennt. Haben schon die Domänencontroller untereinander Verbindungsprobleme, können Sie sicher sein, dass domänenabhängige Dienste wie Exchange, Dateiserver oder alle Arten der Authentifizierung Probleme bereiten.


Bild 2: Anzeigen der vollständigen Domänencontroller-Liste in der Befehlszeile

Über diese Liste können Sie auch veraltete Einträge ausmachen, die ebenfalls oft in Problemen mit den aktiven Domänencontrollern resultieren. Geben Sie in der Befehlszeile den Befehl

nltest /dclist:{NetBIOS-Domänenname}

ein, zum Beispiel nltest /dclist:contoso. Daraufhin sollten Sie alle Domänencontroller mit ihren vollständigen Domänennamen sehen. Werden einzelne Domänencontroller nur mit ihrem Net- BIOS-Namen angezeigt, überprüfen Sie deren DNS-Registrierung auf den DNS-Servern.

Überprüfen der Active Directory-Dateien
Kommt es vor, dass Sie keine neuen Objekte in der Domäne aufnehmen können oder sich die Domänencontroller nicht stabil verhalten, liegt dies möglicherweise an der Festplatte, auf der sich die Daten des Active Directory befinden. Überprüfen Sie daher, ob die Platte fehlerfrei läuft und über genügend freien Speicherplatz verfügt. Idealerweise sind natürlich auf einem Domänencontroller immer noch einige GByte frei. Sinnvoll ist, wenn noch mindestens so viel Festplattenplatz frei ist, wie die Größe der Datenbank beträgt. So können Sie die Datenbank Offline-Defragmentieren, ohne diese zuvor auf einen anderen Server kopieren zu müssen.

Auch nach der Installation eines neuen Domänencontrollers können Sie mit Hilfe der Dateien des Active Directory überprüfen, ob die Daten von den anderen Domänencontrollern bereits repliziert worden sind. Vergleichen Sie hierfür die Größe der Active Directory-Dateien auf dem Dateisystem, erkennen Sie recht schnell ob die Replikation der Daten funktioniert. Haben Sie ein großes Active Directory und gibt es zwischen den Größen der Active Directory-Dateien der Domänencontroller extreme Unterschiede, lässt dies auf Probleme schließen. Der Größenunterschied sollte sich dabei nur durch noch ausstehende Replikationsvorgänge erklären lassen, also in mittelständischen Unternehmen nur wenige Megabyte betragen.

Die Active Directory-Daten werden in der Datenbank ntds.dit in dem Verzeichnis gespeichert, das Sie bei der Heraufstufung zum Domänencontroller festgelegt haben – standardmäßig unter "c:\windows\ntds". Überprüfen Sie, ob die Dateien auf dem Domänencontroller vorhanden sind, und ob auch hier noch genügend Festplattenplatz frei ist, damit die Datenbank wachsen kann. Sie können die Größe der Active Directory-Datenbank jederzeit anhand der Größe von ntds.dit überprüfen.

                                                Seite 1 von 2                     Nächste Seite>>

ln/dr/Thomas Joos