Testen der Betriebsmaster
Als weiteren Test können Sie auf einem Domänencontroller überprüfen, ob dieser alle FSMO-Rolleninhaber kennt. Geben Sie in der Befehlszeile den Befehl netdom query fsmo ein. Dieser Test baut keine Verbindung zu den FSMO-Rolleninhabern auf. So ist nicht sichergestellt, dass diese auch funktionieren. Allerdings wird durch diesen schnell durchführbaren Test überprüft, ob die Rolleninhaber bekannt sind.


Bild 1: Die Betriebsmaster einer Gesamtstruktur lassen sich in der Befehlszeile anzeigen

Stellen Sie Probleme im Active Directory fest oder bei der Installation von neuen Mitgliedsservern, die sich nicht richtig auf ein bestimmtes Problem festlegen lassen, kann die Abfrage der Betriebsmaster oft schon einen entscheidenden Hinweis geben. Die Auflistung der einzelnen Aufgaben der Betriebsmaster würde den Rahmen dieses Artikels sprengen. Aber sind diese nicht verfügbar, laufen Mitgliedsserver als auch Domänencontroller teilweise nicht stabil. Betriebsmaster können zum Beispiel verschwinden, wenn Sie einen Domänencontroller ganz neu installieren oder aus dem Netzwerk entfernen, ohne die entsprechende Rolle vorher auf einen anderen Domänencontroller zu transferieren.

Testen der Namensauflösung mit nslookup
99 Prozent aller Fehler, die in Active-Directory- Domänen auftreten, lassen sich durch Fehler in der DNS-Konfiguration begründen. Sobald irgendetwas in einem Active Directory nicht mehr funktioniert – sei es die Replikation, die Authentifizierung oder der Zugriff auf Ressourcen – sollte der erste Schritt immer darin bestehen, die Namensauflösung der entsprechenden Server zu verifizieren. Ein wichtiger Test besteht aus diesem Grund darin, dass Sie in der Befehlszeile nslookup aufrufen. An dieser Stelle sollte kein Fehler auftreten:

C:\Documents and Settings\Administrator>
nslookup
Default Server: DC1.contoso.com
Address: 10.1.1.20

Dieser Test zeigt, dass der bevorzugte DNS-Server erreicht werden kann und sein Computername, sowie seine IP-Adresse im DNS registriert sind. Erhalten Sie hier bereits eine Fehlermeldung, sollten Sie überprüfen, ob die IP-Adresse des DNS-Servers in der Reverse-Lookupzone registriert ist. Sollte der Server noch nicht registriert sein, versuchen Sie mit ipconfig /registerdns in der Befehlszeile eine erneute automatische Registrierung beim DNS-Server. Das ist eine häufige Fehlerquelle. Danach sollten Sie durch die Eingabe des vollständigen Computernamens aller restlichen Domänencontroller feststellen, dass alle notwendigen Domänencontroller per DNS erreicht werden können.

Standard-OUs per Active-Directory-Benutzer und -Computer überprüfen
Nach einer Neuinstallation einer Domäne oder eines Domänencontrollers sollten Sie überprüfen, ob sich das Snapin "Active Directory-Benutzer und -Computer" fehlerfrei öffnen lässt und die fünf wichtigsten OUs angezeigt werden. Durch diese Maßnahme erkennen Sie, ob sich der Server in die Domäne integriert hat und die Grundfunktionen vorhanden sind.

Bild 2: Standard-OUs auf Domänencontrollern im Active Directory sollten ebenfalls überprüft werden

Zur Fehlerbehebung dient diese Maßnahme eher nicht, sondern eher zur Diagnose eines neuen Domänencontrollers. Funktioniert allerdings ein Domänencontroller nicht mehr sauber zusammen mit den anderen Servern im Netz, lässt sich durch das Aufrufen dieses Snapins feststellen, ob zumindest eine rudimentäre Verbindung zum AD besteht. Diese OUs sind in jeder Domäne identisch und müssen vorhanden sein:

• Im Container Builtin befinden sich vom System vordefinierte Gruppen.
• Der Container Computers enthält Computerkonten für alle Computer, die in die Domäne aufgenommen wurden. Jeder Computer wird mit einem eigenen Konto im Active Directory verwaltet.
• Im Container Users stehen die Benutzer und Gruppen, die von Windows Server 2003 automatisch angelegt werden.
• Der Container ForeignSecurityPrincipals enthält Informationen über SIDs, die mit Objekten aus entfernten vertrauten Domänen verbunden sind.
• Im Container Domain Controllers befinden sich Computerkonten für alle Domänencontroller der Domäne.

Sie müssen nicht den Inhalt der Container überprüfen, es reicht wenn Sie testen, ob diese angelegt wurden. Achten Sie darauf, im Snapin über das Menü Ansicht die erweiterten Funktionen zu aktivieren. Mit diesen Tests lässt sich bereits ein Großteil an möglichen Fehlern im Active Directory diagnostizieren und beheben.

Im dritten Teil unserer Workshop-Serie werden wir unter anderem Probleme mit der Replikation näher betrachten.

        <<Vorherige Seite                          Seite 2 von 2

ln/dr/Thomas Joos