Fachartikel

Active Directory-Diagnose mit Bordmitteln (2)

Treten in Ihrem Active Directory Probleme auf, können Sie oft leicht mit Bordmitteln eine Diagnose durchführen und eine Lösung für das Problem finden. Auch bei der Installation von neuen Domänencontrollern oder wenn Sie sich einen Überblick über die Replikation der Domänencontroller verschaffen wollen, helfen Bordmittel. In unserer wöchentlich online erscheinenden Workshop-Serie zeigen wir, welche Mittel Ihnen unter Windows Server 2003 zur Verfügung stehen.
Um die Struktur des Active Directory sauber zu halten, sind nicht immer kostenpflichtige Werkzeuge vonnöten
Im ersten Teil unserer Workshop-Serie haben wir Ihnen gezeigt, wie Sie unter Windows 2003 die Ereignisanzeige richtig nutzen und welche Funktionstests bei gängigen Problemen am sinnvollsten sind. Im zweiten Teil gehen wir unter anderem darauf ein, wie Sie Schwierigkeiten bei der Kerberos-Authentifizierung beheben und wie Sie mit netdiag erfolgreich Ihr Netzwerk analysieren.

Kerberos-Probleme beheben
Unter manchen Umständen können auch Probleme in der Kerberos-Authentifzierung auf den Servern auftreten. Diese Fehler äußern sich häufig in netdiag und dcdiag bei fehlgeschlagenen Tests bezüglich LDAP, Kerberos oder Binding. Oft liegen in diesem Bereich Probleme mit dem Domänenkennwort des Domänencontrollers oder des Servers vor. Sie können das Maschinenkennwort eines Domänencontrollers oder eines Mitgliedsservers jederzeit zurücksetzen. Die Version von dcdiag, die mit dem Service Pack 1 für Windows Server 2003 ausgeliefert wird, enthält einen neuen Test, mit dem sich dieses Problem aufzeigen lässt.

Öffnen Sie eine neue Befehlszeile und geben Sie den Befehl

dcdiag /test:CheckSecurityError /s:{Name des betroffenen Domänencontrollers}
ein. Führen Sie den Test aus, überprüft dcdiag für diesen Domänencontroller, ob irgendeine Active Directory-Replikationsverbindung Schwierigkeiten mit der Übertragung von Kerberos hat. Sie erhalten eine detaillierte Ausgabe aller Probleme, die der Quell-Domänencontroller bei der Replikation im Zusammenhang mit Kerberos hat.

Diese Ausgabe ist eine wertvolle Hilfe bei der Suche nach Problemen im Active Directory. Erhalten Sie beim Testen mit dcdiag und netdiag Fehler bezüglich der genannten Tests, sollten Sie das Maschinenkennwort des Domänencontrollers zurücksetzen. Gehen Sie dabei folgendermaßen vor:
  1. Beenden Sie den Dienst Kerberos-Schlüsselverteilungscenter.
  2. Setzen Sie den Dienst auf manuell.
  3. Geben Sie in der Befehlszeile folgenden Befehl ein: netdom resetpwd /server:{Ein
  4. Domänencontroller der Domäne, der noch funktioniert} /userd:{Administratorkonto der Domäne} /password:{Kennwort des Administrators}
  5. Der Befehl darf keine Fehlermeldung zurückgeben, sondern sollte die erfolgreiche Ausführung melden.
  6. Starten Sie den Server durch.
  7. Starten Sie den Dienst Kerberos-Schlüsselverteilungscenter und setzen Sie ihn wieder auf automatisch.

Überprüfen Sie dann mit dcdiag und netdiag, ob die Verbindungsprobleme dadurch behoben sind.

Netzwerkdiagnose mit netdiag
Die Netzwerkdiagnose mit netdiag dient nicht nur der Überprüfung von Domänencontrollern. Sie können diesen Test auch auf Mitgliedsservern starten. Vor allem auf Exchange-Servern sollte dieser Test nach der Installation durchlaufen. Auch hier wird Ihnen die Ausgabe in der Befehlszeile angezeigt. Sie können das Tool zur Diagnose sowohl von neuen Mitgliedsservern als auch von Domänencontrollern in Ergänzung zu dcdiag verwenden. Treten Probleme bei der Installation von Applikationen auf Mitgliedsservern auf, die auf die Authentifizierung mit dem Active Directory schließen lassen, bietet dieses Tool auch wertvolle Hilfe.

Zusätzlich lassen sich mit netdiag Fehler in der DNS-Konfiguration der Zonen Ihres Active Directorys reparieren, wenn zum Beispiel Einträge verschwunden sind. Das Werkzeug deckt schnell Probleme auf, wenn ein Mitgliedsserver Probleme bei der Domänenanbindung hat und kann sicherstellen, dass ein Server sauber mit der Domäne verbunden ist. Hier nun eine Musterausgabe dieses Tools mit entsprechenden Kommentaren:

Computer Name: DC01
DNS Host Name: dc01.contoso.com
System info : Microsoft Windows
Server 2003 R2 (Build 3790)
Processor : x86 Family 15 Model
31 Stepping 0, AuthenticAMD
List of installed hotfixes :
Q147222

An dieser Stelle werden alle relevanten Informationen zu einem Server sowie die Liste der Hotfixes ausgegeben.

Netcard queries test . . . . . . . : Passed
GetStats failed for 'Parallelanschluss (direkt)'.
[ERROR_NOT_SUPPORTED]

Erscheinen bei einigen Anschlüssen und WAN-Miniports Fehlermeldungen, ist das nebensächlich. Diese Tests spielen für Server in den wenigsten Fällen eine Rolle.

[WARNING] The net card 'WAN-Miniport (PPTP)' may not be working
 because it has not received any packets.
[WARNING] The net card 'WAN-Miniport (PPPOE)' may not be working
 because it has not received any packets.
[WARNING] The net card 'WAN-Miniport (IP)' may not be working
 because it has not received any packets.
GetStats failed for 'WAN-Miniport (L2TP)'.
[ERROR_NOT_SUPPORTED]
Per interface results:
Adapter : LAN-Verbindung

An dieser Stelle werden die Netzwerkkarte und die IP-Einstellungen getestet. Für eine schnelle Diagnose der IP-Einstellungen eines Servers ist dieser Test sehr wichtig und sollte auf "Passed" stehen.

Netcard queries test . : Passed
Host Name. . . . . . . : dc01
IP Address . . . . . . : 10.0.0.11
Subnet Mask. . . . . : 255.255.255.0
Default Gateway. . . . : 10.0.0.1
Primary WINS Server. . : 10.0.0.15
Dns Servers. . . . . . : 10.0.0.11
IpConfig results . . . . . : Passed

Hier wird überprüft, ob alle Server auch angepingt und erreicht werden können, die in den IP-Einstellungen hinterlegt sind. Auch hier sollte auf jeden Fall "Passed" stehen.

Default gateway test . . . : Passed
Steht auf "Failed", wenn kein Standard-Gateway hinterlegt ist. Wenn das absichtlich geschieht, ist das in Ordnung.
Domain membership test . . . . . . : Passed

Dieser Test sollte selbstverständlich auf "Passed" stehen. Wenn dieser Test "Failed" ausgibt, liegt ein Problem mit dem Computerkonto dieses Servers in der Domäne vor.

DNS test . . . . . . . . . . . . . : Passed
PASS - All the DNS entries for DC are registered
 on DNS server '10.0.0.11' and other DCs also
 have some of the names registered.

Hier wird überprüft, ob der Servername im DNS auch richtig registriert ist und aufgelöst werden kann. Dieser Test sollte auf jeden Fall auf "Passed" stehen.

DC discovery test. . . . . : Passed

Hier überprüft netdiag, ob es alle Domänencontroller in der Domäne findet. Dieser
Test muss immer auf "Passed" stehen.

DC list test . . . . . . . : Passed

Dieser Test muss auf "Passed" stehen, damit sichergestellt ist, dass alle Domänencontroller der Domäne kontaktiert (und nicht nur gefunden) werden können.

Kerberos test. . . . . . . : Passed

Auch dieser Test muss auf "Passed" stehen. Wenn hier "Failed" steht, erhält der Server keine Kerberos-Tickets und kann keine Benutzer authentifizieren.

LDAP test. . . . . . .. . . : Passed

Damit ist sicher, dass die Domänencontroller per LDAP erreichbar sind – ein "Passed" ist hier ein Muss.

[WARNING] Failed to query SPN registration on DC 'DC04.contoso.com'.

Wenn ein Domänencontroller aus der DC-Liste nicht kontaktiert werden kann, erscheint ein Fehler. Diesem Fehler sollten Sie nachgehen. Wird dabei nur einer von vielen DCs nicht gefunden, liegt es wahrscheinlich an diesem Domänencontroller und nicht am lokalen. Kann das Tool keine anderen DCs finden, liegt ein lokales Problem vor, das Sie lösen müssen.

Bindings test. . . . . . : Passed

Auf die Domänencontroller kann per LDAP zugegriffen und eine Verbindung hergestellt werden. Muss auf "Passed" stehen.




                                                Seite 1 von 2                     Nächste Seite>>

17.01.2011/ln/dr/Thomas Joos

Nachrichten

Cloudumgebungen zunehmend im Visier [1.03.2021]

Der neue Threat Trends Report des Varonis Forensik-Teams zeigt die aktuellen Bedrohungen für Unternehmen und Organisationen auf. Die Ergebnisse basieren dabei auf durchgeführten Vorfallsreaktionen, forensischen Untersuchungen und Reverse Engineering von Malware und zeigen eine große Bandbreite an Techniken und Zielen auf: So verdreifachten sich im Vergleich zum Ende des Jahres 2020 Cloudangriffe von neun auf gegenwärtig 29 Prozent. [mehr]

Heimarbeit bietet Vorteile [26.02.2021]

Laut einer aktuellen Umfrage ist Home Office auf dem Vormarsch. 46 Prozent der Befragten gaben an, dass sie bei einem Jobwechsel nur eine Stelle annehmen würden, die Heimarbeit oder flexible Arbeitsoptionen bietet. Mehr als die Hälfte wünschten sich ein gesetzlich verankertes Recht auf Home Office und Remote-Arbeit. 71 Prozent waren überzeugt, dass flexible Arbeitsmodelle auch nach der Pandemie häufiger vorkommen würden. [mehr]

Tipps & Tools

Sicherheitslücken in VMware ESXi und vSphere Client [2.03.2021]

Kürzlich wurden drei Schwachstellen in VMware ESXi und vSphere Web-Client entdeckt. Ein böswilliger Akteur mit Netzwerkzugriff auf Port 427 beziehungsweise Port 443 könnte die Sicherheitslücken nutzen, um Code auf dem vCenter-Server-Betriebssystem auszuführen oder Informationen durch eine POST-Anfrage abzugreifen. Es seien bereits Updates verfügbar, um die Schwachstellen in den betroffenen VMware-Produkten zu beheben. [mehr]

Jetzt noch buchen: "Office 365 bereitstellen und absichern" [1.03.2021]

Die Clouddienste von Office 365 vereinfachen die Bereitstellung der Office-Applikationen für die Anwender und sparen Lizenzgebühren. Doch auf den Admin kommen ganz neue Aufgaben zu, die unser dreitägiges Intensiv-Seminar "Office 365 bereitstellen und absichern" praxisnah adressiert. So widmen wir uns neben der Auswahl der geeigneten Lizenzform der Vorbereitung der Infrastruktur und zeigen die Verwaltung und Absicherung von Exchange und SharePoint Online sowie MS Teams. Für die Online-Veranstaltung im März sind nur noch zwei Plätze frei, buchen Sie daher schnell. [mehr]

Buchbesprechung

Computernetze und Internet of Things

von Patrick-Benjamin Bök, Andreas Noack, Marcel Müller

Anzeigen