Fehlersuche mit dem Zusatztool Port Query
Mit dem Zusatzprogramm Port Query, das auf der Internetseite [4] zum Download bereitsteht, testen Sie die für die Zusammenarbeit von Active Directory, Replikation und Exchange-Server notwendigen Ports. Stellen Sie zum Beispiel Verbindungsprobleme zwischen Exchange-Servern in verschiedenen Standorten fest oder gibt es Authentifizierungsprobleme zwischen Exchange und Active Directory – vor allem in verschiedenen Standorten – sind eventuell gesperrte Firewall-Ports schuld. Mit Port Query können Sie die wichtigsten Netzwerkverbindungen zwischen Domänencontrollern und Exchange-Servern über WAN-Leitungen testen.


Bild 3: Mit "Port Query" lassen sich effizient Verbindungsprobleme zwischen Servern analysieren

Haben Sie das Programm heruntergeladen, starten Sie es mit einem Doppelklick auf die EXE-Datei. Das Tool muss nicht installiert werden, sondern wird lediglich in einem Verzeichnis auf der Festplatte entpackt. Nach dem Start geben Sie die IP-Adresse eines anderen Domänencontrollers ein, zu dem Sie den Verbindungsaufbau testen möchten. Als Nächstes müssen Sie den zu überprüfenden Dienst auswählen. In diesem Bereich spielen hauptsächlich die beiden Dienste "Domains and Trusts" und "Exchange- Server" eine Rolle. Klicken Sie dann auf die Schaltfläche "Query", werden Ihnen die Verbindung zum Server und die möglichen Fehler angezeigt. Das Programm testet alle für die Verbindung zwischen zwei Domänencontrollern notwendigen Ports und gibt ihren Status aus. Vor allem beim Testen von Verbindungsproblemen über eine Firewall kann dieses Programm wertvolle Hilfe leisten.

Fehlerquellen bei der Active Directory-Replikation über Firewalls
Setzen Sie in Ihrer Gesamtstruktur mehrere Standorte ein, die durch eine Firewall voneinander getrennt sind, können unter Umständen Replikationsprobleme auftreten. Diese haben zunächst nichts mit dem Active Directory und den Domänencontrollern zu tun, wirken sich aber dennoch auf die Replikation im Active Directory aus. Einige Firewalls löschen bestimmte Pakete mit einer fest definierten Größe. Werden Replikationspakete des Active Directory gelöscht, treten auf den Domänencontrollern natürlich auch entsprechende Fehlermeldungen auf. Können Sie die Ursachen dieser Fehler nicht eingrenzen, sollten Sie überprüfen, ob Ihre Firewall unter Umständen genau diese Pakete löscht. Geben Sie dazu in der Befehlszeile den Befehl

ping –f –l 1472

ein. Bei diesem Befehl werden keine standardmäßigen ICMP-Pakete per Ping verschickt, sondern deutlich größere Pakete, die auch die Active Directory- Replikation verwendet. Pingen Sie beide Server untereinander an, erst in die eine und dann in die andere Richtung. Erhalten Sie eine positive Antwort, löscht die Firewall keine Pakete. Erhalten Sie hier Timeouts, löscht die Firewall bestimmte Pakete und Sie sollten die Firewall so konfigurieren, dass die Pakete durchgelassen werden. Sie können auf den Domänencontrollern auch die maximale Größe der Pakete konfigurieren, damit diese zukünftig nicht von der Firewall gelöscht werden.

Um die maximale Größe der Kerberos- Pakete zu konfigurieren, müssen Sie den Registry-Editor auf einem Domänencontroller öffnen. Navigieren Sie zu dem Registry-Schlüssel "HKEY_LOCAL_ MACHINE \ SYSTEM \ CurrentControl Set \ Control \ Lsa \ Kerberos\ Parameters". Suchen Sie den DWORD-Wert "MaxPacketSize". Weisen Sie diesem Eintrag einen Wert unter der maximalen Paketgröße, die Ihre Firewall durchlässt, zu. Nach der Änderung dieses Wertes müssen Sie den Domänencontroller neu starten. Testen Sie nun, ob danach die Replikation zwischen den Domänencontrollern funktioniert.

Fehlersuche in der DNS-Konfiguration
Treten Probleme im Active Directory und dem internen E-Mailversand auf, liegt meistens ein Fehler in der DNS-Konfiguration vor. Aus diesem Grund sollten Sie sich bereits frühzeitig mit den möglichen Fehlerquellen und der DNS-Infrastruktur vertraut machen. Treten im Active Directory Fehler auf, sollten Sie immer zunächst überprüfen, ob sich die beteiligten Server im DNS auflösen können. Alle beteiligten Server sollten sich untereinander fehlerfrei auflösen können. Verwenden Sie dazu das Befehlszeilenprogramm "nslookup", das wir Ihnen bereits beschrieben haben. Kann ein Servername mit nslookup nicht aufgelöst werden, überprüfen Sie anhand der folgenden Schritte, wo das Problem liegt:

1. Ist in den IP-Einstellungen des Servers der richtige DNS-Server als bevorzugt eingetragen?
2. Verwaltet der bevorzugte DNS-Server die Zone, in der Sie eine Namensauflösung durchführen wollen?
3. Verwaltet der Server diese Zone nicht, ist dann auf der Registerkarte Weiterleitungen in den Eigenschaften des Servers ein Server eingetragen, der die Zone auflösen kann?
4. Ist eine Weiterleitung eingetragen, kann dann der Server, zu dem weitergeleitet wird, die Zone auflösen?
5. Ist dieser Server nicht für die Zone verantwortlich, leitet er dann wiederum die Anfrage weiter? An irgendeiner Stelle der Weiterleitungskette muss ein Server stehen, der die Anfrage schließlich auflösen kann, sonst kann der Client keine Verbindung aufbauen und die Abfrage des Namens wird nicht erfolgreich sein.

Ein wichtiges Werkzeug bei der Fehlersuche im DNS ist zudem "ipconfig". Dieses Tool haben Sie bisher hauptsächlich genutzt, um manuell die dynamische Registrierung von Einträgen in der DNS-Zone vorzunehmen. Für diesen Vorgang verwenden Sie ipconfig /registerdns. Nach der Eingabe dieses Befehls versucht der Server erneut, seinen Namen und seine IP-Adresse auf dem DNS-Server zu registrieren. Nehmen Sie eine Fehlersuche im DNS vor und haben Sie Maßnahmen eingeleitet, um den Fehler zu eliminieren, werden Sie nach einer Konfigurationsänderung immer wieder versuchen, ob die Namensauflösung richtig funktioniert.

Dabei kann es unter Umständen passieren, dass der Fehler zwar mittlerweile behoben ist, Sie aber dennoch eine falsche Anzeige erhalten. Das liegt daran, dass nicht jede Abfrage sofort zum DNS-Server weitergeleitet wird, sondern auf dem Client in einem Cache zwischengespeichert wird. Durch diese Zwischenspeicherung kann es passieren, dass die Namensauflösung mittlerweile funktioniert, weil Sie den Fehler behoben haben, Ihnen aber immer noch die Anzeige aus dem Cache angezeigt wird. Aus diesem Grund sollten Sie bei der Fehlersuche nach jeder Änderung, die Sie vornehmen, zunächst den Cache auf dem Client löschen. Um den lokalen DNS-Cache zu löschen, verwenden Sie den Befehl ipconfig /flushdns. Nun sollte die Anzeige stimmen.

         <<Vorherige Seite                          Seite 2 von 2

ln/dr/Thomas Joos

[4] http://download.microsoft.com/download/[...]