Domänenkonto der Domänencontroller überprüfen
Computerkonten für Domänencontroller werden im Active Directory besonders behandelt und in einer eigenen OU abgelegt, auf der die Gruppenrichtlinie "Default Domaincontroller Policy" liegt. Diese Policy legt spezielle Einstellungen für Domänencontroller fest. Treten Probleme auf einem Controller auf, zum Beispiel im Bereich der Authentifizierung oder Replikation mit anderen DCs, sollten Sie überprüfen, ob das Computerkonto des DCs noch in der richtigen OU liegt und das Konto fehlerfrei in der Domäne registriert worden ist.


Bild 3: Das Anzeigen der Computerrollen in der Befehlszeile verschafft einen schnellen Überblick

Achten Sie darauf, dass die Domänencontroller im Snap-In "Active Directory- Benutzer und -Computer" in der OU "Domain Controllers" angezeigt werden. Außerdem können Sie mit dem Befehl net accounts in der Befehlszeile den Status des Domänenkontos eines DCs überprüfen. Innerhalb der Ausgabe des Kommandos sollte die Rolle des Computers "Primär" sein, wenn es sich um den PDC-Emulator handelt. Bei allen anderen Domänencontrollern wird an dieser Stelle die Rolle "Sicherung" angezeigt.

Überprüfen der administrativen Freigaben
Für die fehlerfreie Funktion der Gruppenrichtlinien und der Anmeldeskripte in der Domäne sind die administrativen Freigaben auf dem Domänencontroller wichtig. Stellen Sie Fehler bei der Anmeldung von Clients oder der Weitergabe von Gruppenrichtlinien fest, sollten Sie die administrativen Freigaben auf Domänencontrollern überprüfen. Das Gleiche gilt bei der Diagnose von neuen Domänencontrollern. Test Sie hier auch, ob die Anmeldeskripte in die Freigaben durch den Dateireplikationsdienst kopiert worden sind. Vor allem die beiden Freigaben "netlogon" und "sysvol" sollten fehlerfrei dargestellt werden. Überprüfen Sie sie mit Hilfe des Befehlszeilenprogrammes "net share". Standardmäßig sind die beiden Verzeichnisse

• C:\windows\sysvol\sysvol\DOMÄNE\ Scripts als Freigabe "netlogon" und
• C:\Windows\sysvol\sysvol als Freigabe "sysvol" freigegeben. Beide Freigaben können Sie durch net share in der Befehlszeile anzeigen.

Bild 4: Überprüfen der administrativen Freigaben auf einem neuen Domänencontroller

Überprüfen der Gruppenrichtlinien
Standardmäßig werden in einer Active Directory-Domäne bereits die beiden Gruppenrichtlinien "Default Domain Controller Policy" und "Default Domain Policy" angelegt, die wichtige Einstellungen für Computer, Benutzer und die Sicherheit enthalten. Stellen Sie Fehler fest, die auf Probleme mit den Standardgruppenrichtlinien schließen lassen, überprüfen Sie, ob diese überhaupt auf dem Dateisystem vorhanden sind und auf neu installierte Domänencontroller repliziert werden.

Die Einstellungen der beiden Gruppenrichtlinien sind im Dateisystem auf den Domänencontrollern gespeichert. Für beide Richtlinien gibt es im Verzeichnis "c:\windows\sysvol\domain\policies" jeweils einen Unterordner, der durch eine eindeutige GUID dargestellt wird. Überprüfen Sie, ob diese beiden Unterordner vorhanden sind und ob Sie diese fehlerfrei öffnen können

• {31B2F340-016D-11D2-945F-00C04FB984F9} – Default Domain Policy
• {6AC1786C-016F-11D2-945F-00C04fB984F9} – Default Domain Controller Policy

DNS-Einträge des Active Directory überprüfen
Treten Fehler im Active Directory auf, liegt es oft auch an Problemen in der DNS-Konfiguration. Stellen Sie Fehler bei der Anmeldung oder über nslookup fest, sollten Sie testen, ob die Einträge in der DNS-Zone des Active Directory erstellt wurden und fehlerfrei sind. Oft finden Sie in den DNS-Zonen noch veraltete Einträge von Domänencontrollern, die es nicht mehr gibt oder Einträge fehlen. Stellen Sie Probleme in der Replikation fest oder melden die Diagnosetools dcdiag und netdiag Fehler, sollten Sie diese DNS-Einträge überprüfen. Auch nach der Installation eines neuen Domänencontrollers macht die Diagnose Sinn. So können Sie zum Beispiel feststellen, ob die Active Directory-Informationen, zu denen auch die DNS-Zonen gehören, auf den neuen Server repliziert wurden.


Bild 5: Überprüfen der DNS-Einträge von Active Directory auf den DNS-Servern zur Diagnose

Nach der Installation des Active Directory werden in der Forward-Lookupzone der entsprechenden Domäne zahlreiche Einstellungen vorgenommen. Überprüfen Sie in der DNS-Verwaltung, ob die Einträge vom Active Directory fehlerfrei vorgenommen worden sind. Sie brauchen nicht alle Einträge zu überprüfen, können aber schon an der Übersicht alleine erkennen, ob überhaupt Einträge erstellt wurden. Alle notwendigen Dienste des Active Directory sind als SRV-Record im DNS abgespeichert.

Vermuten Sie Probleme im Bereich DNS, rufen Sie netdiag /v in der Befehlszeile auf. Wurde die ganze DNS-Zone der Domäne gelöscht, werden ähnliche Fehler wie beim Löschen einzelner Einträge gemeldet. Wurde die ganze Zone gelöscht, sollten Sie zunächst die Zone neu erstellen. Achten Sie darauf, dass diese Zone genau so bezeichnet wird wie die Domäne im Active Directory und dass Sie die dynamischen Updates aktivieren. Konfigurieren Sie die Zone so, dass die Daten im Active Directory gespeichert werden.


Bild 6: Speichern einer neuen DNS-Zone im Active Directory, bevor eine Wiederherstellung erfolgen kann

Haben Sie die Zone erstellt, öffnen Sie auf dem Domänencontroller, der auch als DNS-Server dient, eine Befehlszeile und geben den Befehl netdiag/fix ein. Dieser Befehl trägt die notwendigen Active Directory-Daten wieder in die DNS-Zone ein. Dazu verwendet das Programm die Datei C:\windows\system32\config\netlogon.dns, in der alle Einträge des Active Directory gespeichert wurden. Überprüfen Sie anschließend, ob die neu erstellte Zone wieder mit allen notwendigen Informationen befüllt ist. Mit netdiag /fix können Sie auch einzelne fehlende Einträge wiederherstellen. Starten Sie das Tool in der Befehlszeile, wenn irgendwelche Probleme auf fehlende SRV-Records im DNS hindeuten.

Im vierten und letzten Teil dieser Workshop-Serie zeigen wir Ihnen unter anderem, wie Sie mit dem Tool "Active Directory Replication Monitor" die Replikation Ihres Active Directory diagnostizieren und mit dem Werkzeug "Port Query" die für die Replikation benötigten Ports überprüfen. Zudem erfahren Sie, welche Fehlerquellen bei der Active Directory-Replikation über Firewalls lauern.

         <<Vorherige Seite                          Seite 2 von 2

ln/dr/Thomas Joos