Die besten Tricks für das Active Directory (2)

Lesezeit
3 Minuten
Bis jetzt gelesen

Die besten Tricks für das Active Directory (2)

18.05.2015 - 00:00
Veröffentlicht in:
Administratoren in Windows-Netzwerken müssen für die Authentifizierung der Benutzer zwangsläufig auf das Active Directory setzen. Wir zeigen Ihnen nachfolgend einige interessante Tipps und Tools, mit denen Sie den Verzeichnisdienst leichter verwalten. Im zweiten Teil der Workshop-Serie beschäftigen wir uns mit der Active Directory-Replikation und zeigen, wie Sie Gruppenrichtlinien testen und Fehler beheben. Alle Tricks gelten für Windows Server 2012 R2, funktionieren in vielen Fällen aber auch für Server 2008 R2 und teilweise für Server 2008.
Active Directory-Replikation
Das wichtigste Tool, um die Replikation im Active Directory zu überprüfen, ist Repadmin. Tippen Sie in der Befehlszeile den Befehl repadmin.exe/showreps ein. Ihnen werden alle durchgeführten Replikationsvorgänge des Active Directory angezeigt sowie etwaige Fehler, die Ihnen genau die Ursache für die nicht funktionierende Replikation nennen. Sie können die Anzeige mit repadmin/showreps >c:\ repl.txt auch in eine Datei umleiten lassen. Mit repadmin /showrepl * /csv > reps.csv exportieren Sie die Replikationsinformationen in eine CSV-Datei.

Den Status der Replikation erfahren Sie auch in der PowerShell. Dazu verwenden Sie das Cmdlet Get-ADReplicationUpToDate-nessVectorTable {Name des Servers}. Eine Liste aller Server erhalten Sie mit:
Get-ADReplicationUpToDatenessVectorTable * | sort Partner,Server | 
 ft Partner,Server,UsnFilter
Microsoft stellt für die Diagnose der Replikation von Domänencontrollern das Tool "AD Replication Status" kostenlos im Download Center [1] zur Verfügung. Mit dem Werkzeug ersehen Sie in einem übersichtlichen Fenster, ob die Replikation zwischen den Domänencontrollern wie gewünscht funktioniert.

Die Version von dcdiag.exe, die mit Windows Server 2012 R2 ausgeliefert wird, enthält einen Test, mit dem sich Replikationsprobleme entdecken lassen, die von Problemen mit Kerberos verursacht werden. Öffnen Sie dazu eine neue Eingabeaufforderung und geben Sie den Befehl
dcdiag /test:CheckSecurityError /s:{Name des Domänencontrollers}
ein. Anschließend überprüft dcdiag für diesen Domänencontroller, ob irgendeine Active Directory-Replikationsverbindung Probleme mit der Übertragung von Kerberos hat.

Bei dcdiag handelt es sich mit Abstand um das wichtigste Tool bei der Diagnose von Domänencontrollern. Eine ausführliche Diagnose erhalten Sie durch dcdiag /v. Mit dcdiag /a überprüfen Sie alle Domänencontroller am gleichen Active Directory-Standort, über dcdiag /e werden alle Server in der Gesamtstruktur getestet. Um sich nur die Fehler und keine Informationen anzeigen zu lassen, verwenden Sie dcdiag /q. Die Option dcdiag /s: {Domänencontroller} ermöglicht den Test eines Servers über das Netzwerk. Dabei wird auch geprüft, ob das Computerkonto im Active Directory in Ordnung ist und ob es sich richtig registriert hat. Sie können über die Option dcdiag /RecreateMachineAccount eine Fehlerbehebung versuchen, wenn der Test fehlschlägt. Über dcdiag /FixMachineAccount ist ebenfalls eine Fehlerkorrektur möglich. Eine weitere Option, die Fehler behebt, ist dcdiag /fix.

Geben Sie in der Befehlszeile das Komando nltest /dclist:{NetBIOS-Domänenname} ein, zum Beispiel nltest /dclist:contoso. Alle Domänencontroller sollten daraufhin mit ihren vollständigen Domänennamen ausgegeben werden. Erscheinen einzelne Domänencontroller nur mit ihrem NetBIOS-Namen, überprüfen Sie deren DNS-Registrierung auf den DNS-Servern.

Starten Sie mit net stop netlogon und dann net start netlogon den Anmeldedienst auf dem Domänencontroller neu, versucht der Dienst die Datei netlogon.dns aus dem Verzeichnis "\windows \ system32 \ config \" erneut in DNS zu registrieren. Gibt es hierbei Probleme, finden sich im Ereignisprotokoll unter "System" Einträge des Dienstes, der bei der Problemlösung meist weiterhilft.


Bild 1: Microsoft hilft mit eigenen Tools bei der Diagnose des Active Directory.

Auch der Befehl nltest /dsregdns hilft oft bei Fehlern der DNS-Registrierung. Funktioniert die erneute Registrierung durch Neustart des Anmeldedienstes nicht, löschen Sie die DNS-Zone "_msdcs" und die erstellte Delegierung. Beim nächsten Start des Anmeldedienstes liest dieser die Daten von netlogon.dns ein, erstellt die Zone "_msdcs" neu und schreibt die Einträge wieder in die Zone. Mit dcdiag lassen sich die Probleme dann erneut diagnostizieren.

Außerdem können Sie mit dem Befehl net accounts in der Befehlszeile den Status des Domänenkontos eines Domänencontrollers überprüfen. Innerhalb der Ausgabe von net accounts sollte die Rolle des Computers "Primär" sein, wenn es sich um den PDC-Emulator handelt. Bei allen anderen Domänencontrollern wird an dieser Stelle die Rolle "Sicherung" angezeigt.

LDAP-Zugriff auf Domänencontroller überwachen
Damit Active Directory-abhängige Dienste schnell und effizient Daten aus dem Verzeichnisdienst abrufen können, muss der globale Katalog schnell antworten und darf nicht überlastet sein. Um die Auslastung zu überprüfen, nutzen Sie die Leistungsüberwachung. Klicken Sie anschließend auf "Datensammlersätze / System / Active Directory Diagnostics". Weiter geht es mit dem grünen Dreieck in der Symbolleiste, um den Sammlungssatz zu starten. Hat ein Server Leistungsprobleme, starten Sie den Sammlungssatz und lassen eine Zeitlang die Abfragen messen. Nach einiger Zeit beenden Sie die Messung über das Kontextmenü des Sammlungssatzes oder die Symbolleiste. Anschließend können Sie über "Berichte / System / Active Directory Diagnostics" die Daten der letzten Messung anzeigen lassen. In verschiedenen Bereichen sehen Sie alle durchgeführten Aufgaben und deren Daten und Zugriffsgeschwindigkeiten. Auf diesem Weg erkennen Sie schnell, wo Probleme auf dem Server vorliegen.

    Seite 1: Active Directory-Replikation überprüfen
    Seite 2: Gruppenrichtlinien testen und Fehler beheben


Seite 1 von 2 Nächste Seite >>




Thomas Joos/ln

[1] www.microsoft.com/en-us/download/details.aspx?id=30005

Ähnliche Beiträge

Im Test: Heimdal Patch & Asset Management

Ein zeitgemäßes Patchmanagement darf sich angesichts der vielfältigen Bedrohungen nicht allein auf die Microsoft-Produkte konzentrieren, sondern muss sich auch verbreiteten Drittanbieteranwendungen widmen. Der dänische Anbieter Heimdal Security geht noch einen Schritt weiter und hat eine ganze Suite zum Schutz vor Cyberbedrohungen im Programm. Mit dem Fokus auf das Patchen haben wir uns das cloudbasierte Angebot genauer angesehen.

Device-Management mit Microsoft Intune und Office 365 - Zwei Wege, ein Ziel

Um Geräte im Netzwerk oder mobile Geräte, die auf das Netzwerk zugreifen, zu verwalten, bietet sich für Unternehmen entweder Office 365 Mobile Device Management oder Microsoft Intune an. Ein Unterschied zwischen den beiden Lösungen besteht vor allem im Preis. Während das Device-Management zu vielen Abonnements in Office 365 gehört, muss Microsoft Intune gesondert abonniert werden. In diesem Beitrag stellen wir beide Ansätze vor.