Diagnose und Troubleshooting strukturiert durchführen Active-Directory-Probleme in 7 Schritten systematisch lösen

Autor / Redakteur: Thomas Joos / Andreas Donner

Wenn es in Active Directory zu Problemen kommt, hilft eine strukturierte Vorgehensweise dabei, herauszufinden, wo das Problem verursacht wird. Denn wenn erst die Quelle des Problems gefunden ist, dann findet sich meist auch schnell eine Lösung.

Wenn es zu Problemen in Active Directory kommt, äußern sich diese meistens darin, dass sich Benutzer nicht mehr anmelden können, Domänen und andere Objekte nicht hinzugefügt werden können, Daten nicht zugreifbar sind oder Systemdienste abstürzen. Hier gilt es, die Probleme einzugrenzen und dann zu lösen. Dabei hilft folgende Vorgehensweise.

Schritt 1: Namensauflösung testen

Wenn Probleme in Active Directory auftreten, liegt das oft daran, dass die Namensauflösung zwischen verschiedenen Komponenten nicht funktioniert. Dabei kann es sich um Probleme zwischen Domänencontrollern handeln, aber auch um Probleme bei der Namensauflösung zwischen Servern, Arbeitsstationen und Domänencontrollern. Um das auszuschließen sollte daher zunächst zwischen den beteiligten Servern die Namensauflösung getestet werden.

Mit „nslookup“ kann schnell überprüft werden, ob der Name von Servern aufgelöst werden kann, und sich auch die Domänencontroller untereinander auflösen lassen. Dazu wird „nslookup <Servername> eingegeben. Durch diese Tests wird schnell herausgefunden, wo es Probleme bei der Namensauflösung gibt.

Manchmal kann es passieren, dass die Einträge von Active Directory nicht mehr korrekt funktionieren. Hier kann mit Bordmitteln Abhilfe geschaffen werden. Mit „net stop netlogon“ und „net start netlogon“ kann zum Beispiel der Anmeldedienst auf Domänencontrollern neu gestartet werden. Dabei versucht der Dienst die Daten der Datei „netlogon.dns“ aus dem Ordner „\Windows\System32\config\netlogon.dns“ erneut in DNS zu registrieren. Gibt es hierbei Probleme, finden sich im Ereignisprotokoll unter „System“ Einträge des Diensts, die bei der Problemlösung weiterhelfen.

Auch der Befehl „nltest /dsregdns“ hilft oft bei Problemen in der DNS-Registrierung. Funktioniert die erneute Registrierung durch Neustart des Anmeldediensts nicht, kann testweise die DNS-Zone „_msdcs“ und die erstellte Delegierung gelöscht werden. Das sollte allerdings nur die letzte Maßnahme sein. Beim nächsten Start des Anmeldediensts liest dieser die Daten von „netlogon.dns“ ein, erstellt die Zone „_msdcs“ neu und schreibt die Einträge wieder in die Zone.

Schritt 2: Verbindung mit Ping testen

Funktioniert die Namensauflösung zwischen den Computern, sollte als Nächstes mit „Ping“ überprüft werden, ob eine Netzwerkverbindung zwischen den beteiligten Servern und den Domänencontrollern hergestellt werden kann. Auch zwischen den Domänencontrollern muss die Verbindung funktionieren. Normalerweise wird der ICMP-Verkehr zwischen den Computern in Domänen erlaubt. Wenn eine Pingt-Antwort nicht funktioniert, sollte zunächst getestet werden, ob an irgendeiner Stelle des Netzwerks der ICMP-Datenverkehr blockiert wird.

Schritt 3: Diagnose der Domänencontroller

Funktionieren Namensauflösung und Ping zwischen den beteiligten Servern und Domänencontrollern besteht der nächste Schritt darin, lokal auf dem Server mit „dcdiag /v“ eine Diagnose durchzuführen. Zeigen Domänencontroller hier Fehler an, kann im Internet recherchiert werden, wodurch die Fehler verursacht werden. Idealerweise sollte auf jedem Domänencontroller lokal mit dcdiag gearbeitet werden, um Fehler einzugrenzen.

Schritt 4: Replikation testen

Mit „repadmin /showreps“ lassen sich die Replikationsverbindungen zwischen den verschiedenen Domänencontrollern testen. Durch Eingabe des Befehls ist schnell erkennbar welche Domänencontroller Probleme bei der Replikation untereinander haben. Bei dieser Diagnose sollten alle Domänencontroller überprüft werden, die als Replikationsverbindung im Snap-In Active Directory und Dienste enthalten sind.

Mit „nltest /dsgetsite“ kann wiederum überprüft werden, ob Domänencontroller am richtigen Standort platziert sind, und diesen Standort auch erkennen. Nltest kann auch dabei helfen eine Liste aller Domänencontroller anzuzeigen: „nltest /dclist:<NetBIOS-DOMÄNENNAME>“. Die Liste sollte auf Vollständigkeit hin überprüft werden.

Schritt 5: Ereignisanzeige prüfen

In der Ereignisanzeige von Windows-Servern sind vor allem im Protokoll „System“ Fehler zu finden, die auch Active Directory betreffen. Über das Kontextmenü des Protokolls lassen sich die Einträge nach Fehlern filtern, sodass nur die relevanten Fehler angezeigt werden. Dadurch wird schnell ein Überblick gewonnen, auf welchen Servern Fehler auftreten. Parallel können auch die anderen Ereignisanzeigen überprüft werden, ob dort ebenfalls Fehler aufgetreten sind. Das kann oft Aufschluss darüber geben, wo Probleme verursacht werden.

Schritt 6: Berechtigungen prüfen

Bei Fehlern in Active Directory kann es auch zu Problemen bei Berechtigungen kommen. In diesem Fall sollte überprüft werden, ob der entsprechende Benutzer auch Mitglied in den richtigen Gruppen ist. Auch Mitgliedschaften von Administratoren sollten überprüft werden. Hier gibt es verschiedene Admingruppen in Active Directory. Übergreifende Rechte in der Domäne haben nur Benutzer, die in der Gruppe „Domänen-Admins“ sind, Änderungen am Schema dürfen nur durch „Schema-Admins“ vorgenommen werden, und Anpassungen an übergeordneten Bereichen in Active Directory dürfen nur von „Organisations-Admins“ vorgenommen werden.

Schritt 7: FSMO-Rollen testen

Wenn Fehler in Active Directory auftreten, kann es passieren, dass die FSMO-Rollen nicht mehr funktionieren, oder nicht korrekt zugeordnet sind. Hier sollte für jeden Betriebsmaster überprüft werden, auf welchem Domänencontroller dieser positioniert ist, und ob der entsprechende Domänencontroller im Netzwerk erreicht werden kann.

Wenn zum Beispiel der PDC-Master nicht funktioniert, kommt es zu Problemen bei der Anwendung von Gruppenrichtlinien, der RID-Master ist dafür verantwortlich, dass neue Objekte in Active Directory erstellt werden können. Der DNS-Master sorgt für die Aufnahme neuer Domänen in Active Directory und der Schema-Master ermöglicht das Erweitern des Schemas. Der Infrastrukturmaster sorgt für Gruppenmitgliedschaften zwischen Domänen in Active Directory.

Die FSMO-Rolleninhaber lassen Sie sich gebündelt mit „netdom query fsmo“ anzeigen, oder einzeln über die Befehle:

dsquery server -hasfsmo pdc (PDC-Master)
dsquery server -hasfsmo rid (RID-Master)
dsquery server -hasfsmo infr (Infrastrukturmaster)
dsquery server -hasfsmo schema (Schemamaster)
dsquery server -hasfsmo name (Domänennamenmaster)

(ID:46142854)