Techniken zur Behebung von Active Directory-Problemen

Das Active Directory von Microsoft ist in der Regel zuverlässig, sobald es betriebsbereit ist. Ein plötzlicher Ausfall dieser wichtigen Infrastrukturkomponente erfordert jedoch eine schnelle Lösung, damit das Geschäft reibungslos läuft.

Wenn ein Problem auftritt, sollten Sie im Rahmen des Prozesses zur Behebung von Problemen mit Active Directory mehrere einfache Verfahren befolgen.

Führen Sie die Diagnose auf Domänencontrollern aus

Wenn Sie die Windows Server Active Directory-Domänendienste-Rolle installieren, installiert Windows auch ein Befehlszeilentool mit dem Namen dcdiag.
Dieses Dienstprogramm ist sehr hilfreich bei der Fehlerbehebung bei Active Directory, insbesondere bei den Domänencontrollern.
Um dcdiag zu verwenden, öffnen Sie ein Eingabeaufforderungsfenster und geben Sie ein dcdiag eine Reihe grundlegender Tests zu starten, die helfen können, die Ursache des Problems einzugrenzen.
In Abbildung 1 führt dcdiag eine Reihe von Tests aus und zeigt für jeden eine Pass-, Fail- oder Warnmeldung an.

Dcdiag-Test
Abbildung 1. Das Tool dcdiag führt verschiedene Active Directory-Integritätsprüfungen durch.

Testen Sie DNS auf Anzeichen von Problemen

Das Active Directory ist vollständig vom Domain Name Service (DNS) abhängig. Daher ist es wichtig zu überprüfen, ob die DNS-Server des Unternehmens ordnungsgemäß funktionieren. Wenn Sie den Verdacht haben, dass DNS die Ursache Ihrer Probleme ist, müssen Sie zwei Bereiche überprüfen, bevor Sie sich mit ausführlicheren Methoden zur Fehlerbehebung bei Active Directory befassen.
Stellen Sie zunächst sicher, dass der Computer mit den Problemen auf den richtigen DNS-Server verweist. Alle Computer, die an der Active Directory-Umgebung teilnehmen, müssen auf TCP / IP-Ebene konfiguriert werden, um den DNS-Server zu verwenden, der die Berechtigung für Ihre Domäne ist, und nicht einen externen DNS-Server. Sie können die IP-Adresskonfiguration eines Windows-Computers überprüfen, indem Sie den folgenden Befehl eingeben:

IPConfig /all

Abbildung 2 zeigt die Befehlsausgabe.

IPConfig-Befehl
Abbildung 2. Verwenden Sie den Befehl IPConfig, um die TCP / IP-Konfiguration des Computers zu überprüfen.

Auf Windows-Computern können übrigens DNS-Probleme auftreten, wenn abgelaufene Einträge im DNS-Resolver-Cache des Computers hängen bleiben. Sie können den Cache mithilfe einer Variation des IPConfig-Befehls leeren:

IPConfig /FlushDNS

Wenn Sie ein DNS-Problem vermuten, überprüfen Sie einfach, ob DNS ausgeführt wird. Öffnen Sie eine PowerShell-Sitzung auf Ihrem DNS-Server und geben Sie den folgenden Befehl ein:

Get-Service DNS

Sie sollten eine ähnliche Meldung wie in Abbildung 3 sehen, die angibt, dass der DNS funktioniert. Ist dies nicht der Fall, können Sie den Dienst starten, indem Sie den folgenden Befehl eingeben:

Start-Service DNS
PowerShell-DNS-Prüfung
Abbildung 3. Verwenden Sie PowerShell, um zu überprüfen, ob DNS ausgeführt wird.

Wenn diese grundlegenden Überprüfungen die Ursache des Problems nicht aufgedeckt haben, besteht Ihre beste Option möglicherweise darin, dcdiag zu verwenden und einige seiner DNS-spezifischen Tests auszuführen. Hier ist ein Befehl, der nach grundlegenden DNS-Funktionen sucht:

dcdiag /test:dns /v /s:<Domain Controller Name> /DnsBasic

Sie können einen Teil der Befehlsausgabe in Abbildung 4 sehen.

Dcdiag DNS-Prüfungen
Abbildung 4. Mit dcdiag können DNS-Probleme diagnostiziert werden.

Führen Sie Überprüfungen für Kerberos durch

Active Directory verwendet Kerberos, um die Kommunikation in der Domäne zu authentifizieren. Wenn Kerberos nicht mehr funktioniert, wird der Authentifizierungsprozess abgebrochen. Die Kerberos-Fehlerbehebung ist komplex, es gibt jedoch zwei einfache Überprüfungen, die Sie durchführen können, wenn Sie der Meinung sind, dass dieser Bereich das Problem ist.
Überprüfen Sie zunächst die Genauigkeit der Uhren auf Ihren Domänencontrollern, Ihrem DNS-Server und allen betroffenen Clientcomputern. Das Kerberos-Protokoll ist zeitabhängig und ein Zeitversatz kann verschiedene Probleme verursachen, einschließlich eines Kerberos-Fehlers. Wenn die Uhren nicht synchron sind, ist dies wahrscheinlich der Grund für das Problem mit Active Directory.
Ein weiterer Bereich, der überprüft werden sollte, ist die aktuelle Liste der Kerberos-Tickets, die Sie durch Eingabe des Befehls KList an der Eingabeaufforderung des Domänencontrollers generieren können. Wie Sie in Abbildung 5 sehen können, gibt dieser Befehl hilfreiche Diagnoseinformationen zurück.

Kerberos-Ticketliste
Abbildung 5. Der Befehl KList zeigt zwischengespeicherte Kerberos-Tickets an.

Untersuchen Sie die Domänencontroller

In einer Active Directory-Umgebung führen einige Domänencontroller Verwaltungsaufgaben aus, die von einer Reihe flexibler FSMO-Rollen (Single Master Operation) delegiert werden, um das Identitäts- und Authentifizierungssystem funktionsfähig zu halten. Einige Rollen gelten für die gesamte Active Directory-Gesamtstruktur, während andere nur für eine einzelne Domäne gelten.
Die erste dieser Rollen ist die Schema-Master-Rolle. Wenn der Schemamaster fehlschlägt, können Sie keine Änderungen am Active Directory-Schema vornehmen.
Die zweite Rolle auf Gesamtstrukturebene ist der Domänennamen-Master. Diese Rolle verwaltet den Namespace der Gesamtstruktur. Wenn der Domänennamenmaster fehlschlägt, können Sie keine Domänen in der Gesamtstruktur erstellen oder löschen.
Der RID-Master (Relative Identifier) ​​ist eine Rolle auf Domänenebene, die für die Bereitstellung der relativen Identifikatoren verantwortlich ist, die zum Erstellen von a verwendet werden Sicherheitskennung (SID). Eine SID besteht aus einer Domänen-SID, die von allen Objekten in der Domäne gemeinsam genutzt wird, und einer RID, die für dieses Objekt eindeutig ist. Wenn der RID-Master ausfällt, können weiterhin neue Objekte erstellt werden, solange der RID-Pool nicht erschöpft ist. Sobald diese Grenze erreicht ist, schlägt die weitere Objekterstellung fehl.
Eine weitere Rolle auf Domänenebene ist der PDC-Emulator (Primary Domain Controller), der Funktionen innerhalb der Domäne ausführt, einschließlich Zeitsynchronisierung und Kontosperrungsverarbeitung.
Die letzte Rolle auf Domänenebene ist die Infrastruktur-Masterrolle. Der Infrastruktur-Master aktualisiert die SID und den definierten Namen eines Objekts für die domänenübergreifende Verwendung.
Mit PowerShell können Sie die verschiedenen Rollen bestimmen, die von jedem Domänencontroller ausgeführt werden. Führen Sie den folgenden Befehl für Rollen auf Gesamtstrukturebene aus:

Get-ADForest | Select-Object DomainNamingMaster, SchemaMaster

Verwenden Sie den folgenden Befehl, um eine Liste der Rolleninhaber auf Domänenebene abzurufen:

Get-ADDomain | Select-Object InfrastructureMaster, RIDMaster, PDCEmulator

Abbildung 6 zeigt die Ergebnisse der einzelnen Befehle.

FSMO-Rollen
Abbildung 6. Mithilfe dieser PowerShell-Befehle können Sie die Domänencontroller identifizieren, die die verschiedenen FSMO-Rollen ausführen.

Wenn es so aussieht, als würde ein Domänencontroller seine festgelegten Rollen nicht korrekt ausführen, können Sie die Rolle mit dem auf einen anderen Domänencontroller übertragen Move-ADDirectoryServerOperationMasterRole Cmdlet. Wenn der Domänencontroller, auf dem die Rolle gehostet wurde, ausgefallen ist, können Sie die Rolle durch Anhängen der Rolle übernehmen -Macht Wechseln Sie zu Move-ADDirectoryServerOperationMasterRole Cmdlet.
Eine weitere gute Option besteht darin, die Ereignisprotokolle im Domänencontroller zu überprüfen, da sie wahrscheinlich wichtige Informationen zu enthalten die Quelle des Problems.

Similar Posts

Leave a Reply