Fachartikel

Die besten Tricks für das Active Directory (2)

Administratoren in Windows-Netzwerken müssen für die Authentifizierung der Benutzer zwangsläufig auf das Active Directory setzen. Wir zeigen Ihnen nachfolgend einige interessante Tipps und Tools, mit denen Sie den Verzeichnisdienst leichter verwalten. Im zweiten Teil der Workshop-Serie beschäftigen wir uns mit der Active Directory-Replikation und zeigen, wie Sie Gruppenrichtlinien testen und Fehler beheben. Alle Tricks gelten für Windows Server 2012 R2, funktionieren in vielen Fällen aber auch für Server 2008 R2 und teilweise für Server 2008.
Das Active Directory und seinen Replikationsstatus im Auge zu behalten, ist mit den richtigen Hilfsmitteln eigentlich keine Zauberei.
Active Directory-Replikation
Das wichtigste Tool, um die Replikation im Active Directory zu überprüfen, ist Repadmin. Tippen Sie in der Befehlszeile den Befehl repadmin.exe/showreps ein. Ihnen werden alle durchgeführten Replikationsvorgänge des Active Directory angezeigt sowie etwaige Fehler, die Ihnen genau die Ursache für die nicht funktionierende Replikation nennen. Sie können die Anzeige mit repadmin/showreps >c:\ repl.txt auch in eine Datei umleiten lassen. Mit repadmin /showrepl * /csv > reps.csv exportieren Sie die Replikationsinformationen in eine CSV-Datei.

Den Status der Replikation erfahren Sie auch in der PowerShell. Dazu verwenden Sie das Cmdlet Get-ADReplicationUpToDate-nessVectorTable {Name des Servers}. Eine Liste aller Server erhalten Sie mit:
Get-ADReplicationUpToDatenessVectorTable * | sort Partner,Server | 
 ft Partner,Server,UsnFilter
Microsoft stellt für die Diagnose der Replikation von Domänencontrollern das Tool "AD Replication Status" kostenlos im Download Center [1] zur Verfügung. Mit dem Werkzeug ersehen Sie in einem übersichtlichen Fenster, ob die Replikation zwischen den Domänencontrollern wie gewünscht funktioniert.

Die Version von dcdiag.exe, die mit Windows Server 2012 R2 ausgeliefert wird, enthält einen Test, mit dem sich Replikationsprobleme entdecken lassen, die von Problemen mit Kerberos verursacht werden. Öffnen Sie dazu eine neue Eingabeaufforderung und geben Sie den Befehl
dcdiag /test:CheckSecurityError /s:{Name des Domänencontrollers}
ein. Anschließend überprüft dcdiag für diesen Domänencontroller, ob irgendeine Active Directory-Replikationsverbindung Probleme mit der Übertragung von Kerberos hat.

Bei dcdiag handelt es sich mit Abstand um das wichtigste Tool bei der Diagnose von Domänencontrollern. Eine ausführliche Diagnose erhalten Sie durch dcdiag /v. Mit dcdiag /a überprüfen Sie alle Domänencontroller am gleichen Active Directory-Standort, über dcdiag /e werden alle Server in der Gesamtstruktur getestet. Um sich nur die Fehler und keine Informationen anzeigen zu lassen, verwenden Sie dcdiag /q. Die Option dcdiag /s: {Domänencontroller} ermöglicht den Test eines Servers über das Netzwerk. Dabei wird auch geprüft, ob das Computerkonto im Active Directory in Ordnung ist und ob es sich richtig registriert hat. Sie können über die Option dcdiag /RecreateMachineAccount eine Fehlerbehebung versuchen, wenn der Test fehlschlägt. Über dcdiag /FixMachineAccount ist ebenfalls eine Fehlerkorrektur möglich. Eine weitere Option, die Fehler behebt, ist dcdiag /fix.

Geben Sie in der Befehlszeile das Komando nltest /dclist:{NetBIOS-Domänenname} ein, zum Beispiel nltest /dclist:contoso. Alle Domänencontroller sollten daraufhin mit ihren vollständigen Domänennamen ausgegeben werden. Erscheinen einzelne Domänencontroller nur mit ihrem NetBIOS-Namen, überprüfen Sie deren DNS-Registrierung auf den DNS-Servern.

Starten Sie mit net stop netlogon und dann net start netlogon den Anmeldedienst auf dem Domänencontroller neu, versucht der Dienst die Datei netlogon.dns aus dem Verzeichnis "\windows \ system32 \ config \" erneut in DNS zu registrieren. Gibt es hierbei Probleme, finden sich im Ereignisprotokoll unter "System" Einträge des Dienstes, der bei der Problemlösung meist weiterhilft.


Bild 1: Microsoft hilft mit eigenen Tools bei der Diagnose des Active Directory.

Auch der Befehl nltest /dsregdns hilft oft bei Fehlern der DNS-Registrierung. Funktioniert die erneute Registrierung durch Neustart des Anmeldedienstes nicht, löschen Sie die DNS-Zone "_msdcs" und die erstellte Delegierung. Beim nächsten Start des Anmeldedienstes liest dieser die Daten von netlogon.dns ein, erstellt die Zone "_msdcs" neu und schreibt die Einträge wieder in die Zone. Mit dcdiag lassen sich die Probleme dann erneut diagnostizieren.

Außerdem können Sie mit dem Befehl net accounts in der Befehlszeile den Status des Domänenkontos eines Domänencontrollers überprüfen. Innerhalb der Ausgabe von net accounts sollte die Rolle des Computers "Primär" sein, wenn es sich um den PDC-Emulator handelt. Bei allen anderen Domänencontrollern wird an dieser Stelle die Rolle "Sicherung" angezeigt.

LDAP-Zugriff auf Domänencontroller überwachen
Damit Active Directory-abhängige Dienste schnell und effizient Daten aus dem Verzeichnisdienst abrufen können, muss der globale Katalog schnell antworten und darf nicht überlastet sein. Um die Auslastung zu überprüfen, nutzen Sie die Leistungsüberwachung. Klicken Sie anschließend auf "Datensammlersätze / System / Active Directory Diagnostics". Weiter geht es mit dem grünen Dreieck in der Symbolleiste, um den Sammlungssatz zu starten. Hat ein Server Leistungsprobleme, starten Sie den Sammlungssatz und lassen eine Zeitlang die Abfragen messen. Nach einiger Zeit beenden Sie die Messung über das Kontextmenü des Sammlungssatzes oder die Symbolleiste. Anschließend können Sie über "Berichte / System / Active Directory Diagnostics" die Daten der letzten Messung anzeigen lassen. In verschiedenen Bereichen sehen Sie alle durchgeführten Aufgaben und deren Daten und Zugriffsgeschwindigkeiten. Auf diesem Weg erkennen Sie schnell, wo Probleme auf dem Server vorliegen.

    Seite 1: Active Directory-Replikation überprüfen
    Seite 2: Gruppenrichtlinien testen und Fehler beheben


Seite 1 von 2 Nächste Seite >>
18.05.2015/Thomas Joos/ln

Nachrichten

Erstes großes Update für Windows 11 [27.09.2022]

Mit dem Windows 11 2022 Update stellt Microsoft knapp ein Jahr nach dem Release die erste große Erweiterung des Betriebssystem zur Verfügung. Inhaltlich konzentrieren sich die Neuerungen auf vier Kernbereiche: Die PC-Nutzung einfacher und sicherer machen, die Produktivität von Nutzern fördern, Windows als Plattform für Vernetzung, Kreativität und Entertainment erweitern und mehr Flexibilität und Organisationsmöglichkeiten für den hybriden Arbeitsplatz bieten. [mehr]

Dedizierte Server für das Datenhandling [20.09.2022]

OVHcloud erweitert sein Angebot an dedizierten Servern. Die neuen Systeme konzentrieren sich auf die Dichte in Sachen Rechen- und Speicherkapazität. Mit der größeren Auswahl an leistungsorientierten Servern sollen Firmen Herausforderungen im Datenumfeld besser bewältigen können. [mehr]

Datenschätze heben [16.09.2022]

Kraftvoller Mini [1.09.2022]

Tipps & Tools

Die (IT-)Apokalypse naht [1.10.2022]

So wie sich die sieben Weltwunder in jene der Antike und jene der Neuzeit gliedern, gibt es auch bei den vier Reitern der Apokalypse eine Aufteilung zwischen alt und modern: Während die klassischen Reiter meist als Krieg, Hunger, Krankheit und Tod interpretiert werden, hat sich eine Kaffeetasse für eine Neuauslegung im IT-Kontext entschieden. [mehr]

Shell-Befehle durchleuchtet und erklärt [30.09.2022]

Wenn Sie ab und zu mit Linux und Unix zu schaffen haben, sind Ihnen die langen und oft nicht wirklich selbsterklärenden Shell-Befehle bekannt. In der Theorie gibt es zwar in Form sogenannter Manpages Hilfe im Web, doch auch hier müssen Sie sich erst einmal durch viel Text quälen. Die Webseite "ExplainShell.com" durchleuchtet die Kommandos systematisch und trägt so zum besseren Verständnis bei. [mehr]

Buchbesprechung

The Security Culture Playbook

von Perry Carpenter und Kai Roer

Anzeigen