Nachdem wir Ihnen im dritten Teil unserer Workshopserie gezeigt haben, wie Sie Replikationsfehler im Active Directory finden und beseitigen können, stellen wir Ihnen im vierten und letzten Teil der Serie einige hilfreiche Tools zur Fehlersuche vor. Außerdem zeigen wir Ihnen, welche Stolperfallen im Zusammenhang mit Firewalls und DNS lauern.

Häufige Fehlerursache ist in einem Active Directory mit vielen Niederlassungen und zahlreichen Domänencontrollern die Replikation zwischen diesen Standorten. Bei der Fehlersuche bezüglich der Replikation sollten Sie zunächst die beteiligten Domänencontroller überprüfen und testen, ob diese innerhalb ihres Standortes funktionieren. Der nächste Schritt sollte der Blick in die Ereignisanzeige und das Protokoll "Verzeichnisdienst" sein. Achten Sie vor allem auf Fehler von NTDS KCC, NTDS Replication oder NTDS General. Bereits mit Hilfe dieser Fehlermeldungen können Sie auf den genannten Internetseiten [1-3] eine Lösung für das Problem finden.

Bei Problemen mit der Active Directory-Replikation sollte immer eine vollständige Diagnose der Domänencontroller vorausgehen, die wir Ihnen bereits beschrieben haben. Fertigen Sie eine einfach Skizze der Replikationsverbindungen der Domänencontroller an und halten Sie genau fest, welche Domänencontroller sich nicht mehr mit welchen anderen Domänencontrollern replizieren können. Verdeutlichen Sie mit Hilfe dieser Skizze die Probleme, werden Sie schnell erkennen, welcher Domänencontroller die Hauptursache für das Problem ist.

Replikationsprobleme mit repadmin finden
Treten Replikationsprobleme auf, haben Sie mit dem Befehlszeilentool "repadmin" die Möglichkeit, die einzelnen Replikationsvorgänge zu analysieren. Replikationsprobleme äußern sich entweder durch Fehler in dcdiag.exe oder durch Fehler in der Ereignisanzeige. Auch wenn neue Benutzer- oder Computerkonten nicht auf die verschiedenen Domänencontroller repliziert werden, kann die Replikation schuld sein.

Geben Sie in der Befehlszeile das Kommando repadmin /showreps ein, um sich alle Replikationsvorgänge des Domänencontrollers anzeigen zu lassen. Im Anschluss finden Sie eine mögliche Ausgabe von repadmin und mögliche Probleme (Listing 1). Hier sehen Sie, dass die interne Replikation im gleichen Standort zum Domänencontroller DC04 ohne Probleme funktioniert hat. Stellen Sie sicher, dass die Replikation nur einige Minuten zurückliegt, damit Sie interne Replikationsprobleme der Domänencontroller ausschließen können.



In Listing 2 sehen Sie, dass der Domänencontroller DC02 nicht replizieren kann. Die Fehlermeldung können Sie dann zum Beispiel in Google oder der Microsoft Knowledgebase verwenden. Da sich der lokale Domänencontroller mit dem DC04 replizieren kann, liegt vermutlich eher ein Problem auf dem DC02 vor. Untersuchen Sie auf dem DC02, ob dieser auch mit dem DC04 replizieren kann. Wenn nicht, liegt sicherlich ein Problem mit dem DC02 vor. Ist es das auch nicht, liegt ein Leitungsproblem zwischen DC02 und DC01 vor.

Der Active Directory Replication Monitor
Ein weiteres wichtiges Werkzeug bei der Active Directory-Analyse ist der "Active Directory Replication Monitor" aus den Support-Tools. Dieses Tool zeigt in einer grafischen Oberfläche alle notwendigen Informationen eines Active Directory an und unterstützt Sie bei der Diagnose oder der Fehlersuche. Mit dem Werkzeug können Sie so in einer grafischen Oberfläche die Replikation im Active Directory überprüfen, sowie einzelne Domänencontroller diagnostizieren. Der Active Directory Replication Monitor dient so zur effizienten Diagnose und Fehlersuche auf Domänencontrollern.


Bild 1: Anzeigen und Überprüfen der Konfiguration eines Domänencontrollers
mit dem Active Directory Replication Monitor

Sie starten das Tool über den Windows- Menüpunkt "Start/Ausführen/replmon". Nach dem Start ist die Oberfläche des Programms noch leer. Daher müssen Sie sich zunächst mit einem Domänencontroller verbinden. Klicken Sie hierfür mit der rechten Maustaste auf "Monitored Servers" im linken Bereich der Oberfläche. Wählen Sie die Option "Add Monitored Server" aus. Im folgenden Fenster können Sie entweder den FQDN eines Servers eintragen oder die Gesamtstruktur durchsuchen lassen.

Lassen Sie die Gesamtstruktur durchsuchen, so haben Sie die Möglichkeit, im nächsten Fenster einen Domänencontroller innerhalb der verschiedenen Standorte des Active Directory auszuwählen, um sich mit diesem zu verbinden. Nun können Sie alle Verbindungen und Domänencontroller der einzelnen Domänen und deren Verbindung überprüfen. Sie können sich dabei alle Replikationsverbindungen und deren derzeitigen Replikationsstatus anzeigen lassen.


Bild 2: Die "Server Properties" überprüfen, ob alle notwendigen Voraussetzungen
für den Betrieb des Active Directory auf dem Server erfüllt werden

Klicken Sie nun mit der rechten Maustaste auf den verbundenen Domänencontroller, sehen Sie eine Fülle von Optionen und Informationen. Für jede erdenkliche Situation lassen sich so an dieser zentralen Stelle alle notwendigen Informationen für die Fehlersuche einblenden. Die Option "Properties" zeigt dabei alle notwendigen lokalen Informationen des Servers an. So überprüfen Sie recht schnell, ob alle notwendigen Dienste auf allen beteiligten Domänencontrollern auch gestartet sind und funktionieren.

Über den Menüpunkt "Action/Domain/Search Domain Controllers for Replication Errors" können Sie sich die Replikationsfehler aller Domänencontroller einer Domäne anzeigen lassen. Haben Sie diese Option gewählt, können Sie über die Schaltfläche "Run Search" den DNS-Namen der Domäne eingeben, die Sie durchsuchen wollen. Dann wird die Verbindung zu den einzelnen Domänencontrollern aufgebaut und das Programm zeigt eventuell vorhandene Replikationsfehler im Fenster an.

                                                Seite 1 von 2                     Nächste Seite>>

ln/dr/Thomas Joos

[1] www.eventid.net
[2] www.experts-exchange.com
[3] support.microsoft.com