Techniken zur Behebung von Active Directory-Problemen
Wenn ein Problem auftritt, sollten Sie im Rahmen des Prozesses zur Behebung von Problemen mit Active Directory mehrere einfache Verfahren befolgen.
Führen Sie die Diagnose auf Domänencontrollern aus
Wenn Sie die Windows Server Active Directory-Domänendienste-Rolle installieren, installiert Windows auch ein Befehlszeilentool mit dem Namen dcdiag.
Dieses Dienstprogramm ist sehr hilfreich bei der Fehlerbehebung bei Active Directory, insbesondere bei den Domänencontrollern.
Um dcdiag zu verwenden, öffnen Sie ein Eingabeaufforderungsfenster und geben Sie ein dcdiag eine Reihe grundlegender Tests zu starten, die helfen können, die Ursache des Problems einzugrenzen.
In Abbildung 1 führt dcdiag eine Reihe von Tests aus und zeigt für jeden eine Pass-, Fail- oder Warnmeldung an.

Testen Sie DNS auf Anzeichen von Problemen
Das Active Directory ist vollständig vom Domain Name Service (DNS) abhängig. Daher ist es wichtig zu überprüfen, ob die DNS-Server des Unternehmens ordnungsgemäß funktionieren. Wenn Sie den Verdacht haben, dass DNS die Ursache Ihrer Probleme ist, müssen Sie zwei Bereiche überprüfen, bevor Sie sich mit ausführlicheren Methoden zur Fehlerbehebung bei Active Directory befassen.
Stellen Sie zunächst sicher, dass der Computer mit den Problemen auf den richtigen DNS-Server verweist. Alle Computer, die an der Active Directory-Umgebung teilnehmen, müssen auf TCP / IP-Ebene konfiguriert werden, um den DNS-Server zu verwenden, der die Berechtigung für Ihre Domäne ist, und nicht einen externen DNS-Server. Sie können die IP-Adresskonfiguration eines Windows-Computers überprüfen, indem Sie den folgenden Befehl eingeben:
IPConfig /all
Abbildung 2 zeigt die Befehlsausgabe.

Auf Windows-Computern können übrigens DNS-Probleme auftreten, wenn abgelaufene Einträge im DNS-Resolver-Cache des Computers hängen bleiben. Sie können den Cache mithilfe einer Variation des IPConfig-Befehls leeren:
IPConfig /FlushDNS
Wenn Sie ein DNS-Problem vermuten, überprüfen Sie einfach, ob DNS ausgeführt wird. Öffnen Sie eine PowerShell-Sitzung auf Ihrem DNS-Server und geben Sie den folgenden Befehl ein:
Get-Service DNS
Sie sollten eine ähnliche Meldung wie in Abbildung 3 sehen, die angibt, dass der DNS funktioniert. Ist dies nicht der Fall, können Sie den Dienst starten, indem Sie den folgenden Befehl eingeben:
Start-Service DNS

Wenn diese grundlegenden Überprüfungen die Ursache des Problems nicht aufgedeckt haben, besteht Ihre beste Option möglicherweise darin, dcdiag zu verwenden und einige seiner DNS-spezifischen Tests auszuführen. Hier ist ein Befehl, der nach grundlegenden DNS-Funktionen sucht:
dcdiag /test:dns /v /s:<Domain Controller Name> /DnsBasic
Sie können einen Teil der Befehlsausgabe in Abbildung 4 sehen.

Führen Sie Überprüfungen für Kerberos durch
Active Directory verwendet Kerberos, um die Kommunikation in der Domäne zu authentifizieren. Wenn Kerberos nicht mehr funktioniert, wird der Authentifizierungsprozess abgebrochen. Die Kerberos-Fehlerbehebung ist komplex, es gibt jedoch zwei einfache Überprüfungen, die Sie durchführen können, wenn Sie der Meinung sind, dass dieser Bereich das Problem ist.
Überprüfen Sie zunächst die Genauigkeit der Uhren auf Ihren Domänencontrollern, Ihrem DNS-Server und allen betroffenen Clientcomputern. Das Kerberos-Protokoll ist zeitabhängig und ein Zeitversatz kann verschiedene Probleme verursachen, einschließlich eines Kerberos-Fehlers. Wenn die Uhren nicht synchron sind, ist dies wahrscheinlich der Grund für das Problem mit Active Directory.
Ein weiterer Bereich, der überprüft werden sollte, ist die aktuelle Liste der Kerberos-Tickets, die Sie durch Eingabe des Befehls KList an der Eingabeaufforderung des Domänencontrollers generieren können. Wie Sie in Abbildung 5 sehen können, gibt dieser Befehl hilfreiche Diagnoseinformationen zurück.

Untersuchen Sie die Domänencontroller
In einer Active Directory-Umgebung führen einige Domänencontroller Verwaltungsaufgaben aus, die von einer Reihe flexibler FSMO-Rollen (Single Master Operation) delegiert werden, um das Identitäts- und Authentifizierungssystem funktionsfähig zu halten. Einige Rollen gelten für die gesamte Active Directory-Gesamtstruktur, während andere nur für eine einzelne Domäne gelten.
Die erste dieser Rollen ist die Schema-Master-Rolle. Wenn der Schemamaster fehlschlägt, können Sie keine Änderungen am Active Directory-Schema vornehmen.
Die zweite Rolle auf Gesamtstrukturebene ist der Domänennamen-Master. Diese Rolle verwaltet den Namespace der Gesamtstruktur. Wenn der Domänennamenmaster fehlschlägt, können Sie keine Domänen in der Gesamtstruktur erstellen oder löschen.
Der RID-Master (Relative Identifier) ist eine Rolle auf Domänenebene, die für die Bereitstellung der relativen Identifikatoren verantwortlich ist, die zum Erstellen von a verwendet werden Sicherheitskennung (SID). Eine SID besteht aus einer Domänen-SID, die von allen Objekten in der Domäne gemeinsam genutzt wird, und einer RID, die für dieses Objekt eindeutig ist. Wenn der RID-Master ausfällt, können weiterhin neue Objekte erstellt werden, solange der RID-Pool nicht erschöpft ist. Sobald diese Grenze erreicht ist, schlägt die weitere Objekterstellung fehl.
Eine weitere Rolle auf Domänenebene ist der PDC-Emulator (Primary Domain Controller), der Funktionen innerhalb der Domäne ausführt, einschließlich Zeitsynchronisierung und Kontosperrungsverarbeitung.
Die letzte Rolle auf Domänenebene ist die Infrastruktur-Masterrolle. Der Infrastruktur-Master aktualisiert die SID und den definierten Namen eines Objekts für die domänenübergreifende Verwendung.
Mit PowerShell können Sie die verschiedenen Rollen bestimmen, die von jedem Domänencontroller ausgeführt werden. Führen Sie den folgenden Befehl für Rollen auf Gesamtstrukturebene aus:
Get-ADForest | Select-Object DomainNamingMaster, SchemaMaster
Verwenden Sie den folgenden Befehl, um eine Liste der Rolleninhaber auf Domänenebene abzurufen:
Get-ADDomain | Select-Object InfrastructureMaster, RIDMaster, PDCEmulator
Abbildung 6 zeigt die Ergebnisse der einzelnen Befehle.

Wenn es so aussieht, als würde ein Domänencontroller seine festgelegten Rollen nicht korrekt ausführen, können Sie die Rolle mit dem auf einen anderen Domänencontroller übertragen Move-ADDirectoryServerOperationMasterRole Cmdlet. Wenn der Domänencontroller, auf dem die Rolle gehostet wurde, ausgefallen ist, können Sie die Rolle durch Anhängen der Rolle übernehmen -Macht Wechseln Sie zu Move-ADDirectoryServerOperationMasterRole Cmdlet.
Eine weitere gute Option besteht darin, die Ereignisprotokolle im Domänencontroller zu überprüfen, da sie wahrscheinlich wichtige Informationen zu enthalten die Quelle des Problems.