Fehlerbehebung Active Directory

Fehlerbehebung Active Directory

Windows Server 2019

Troubleshooting Active Directory

Das Thema Replikation, um das es hier geht, kann nerven sobald sich ein Fehler eingeschlichen hat.

Die DNS-Infrastruktur (Namensauflösung) ist maßgeblich verantwortlich für eine funktionierende Active Directory Replikation.

Jeder Domain Controller in einer Domäne sollte die gleichen Informationen besitzen und sind somit Multimasterreplikate.

Bevor ein Domain Controller anfängt zu replizieren, prüft er zuerst die Verbindungsobjekte zu anderen DCs, also mit denen er in Verbindung steht. Diese Informationen stehen in der Konfigurationspartition. Während der Prüfung gibt das Active Directoty dem Domain Controller die GUIDs (Globaly Unique Identifier) der anderen DCs zurück.

Die GUID eines Domänenkontrollers lässt sich wie folgt abfragen

repadmin /showreps DC2

Die GUID eines Domänenkontroller lässt sich wie folgt abfragen

In der _msdcs Zone finden wir alle notwendigen Einträge (Records). Dieses Bild, zeigt z.B. die GUID vom Domain Controller DC2.

Fehlerbehebung Active Directory

Sobald der Domain Controller die GUID seiner Replikationspartner abgerufen hat, sendet er eine Abfrage ans DNS, um die Hostnamen der DCs zu ermitteln, mit denen er in Verbindung steht. Sobald ihm die Hostnamen bekannt sind, werden die dazugehörigen IP-Adressen ermittelt.

An dieser Stelle wird klar, wie wichtig eine funktionierende und gut konfigurierte DNS-Infrastruktur ist (Forward-Reverse-Zonen).

Sobald das DNS die IP-Adressen zurückgegen hat, baut der DC die nötigen RPC-Verbindungen (Remote Procedure Calls) zu den Partner auf, um den Replikationsprozess zu starten.

Fehlerbehebung Active Directory

Sobald ein Member Server zu einem Domain Controller heraufgestuft wird, registriert der Server seine GUID und SRV-Einträge (Service-Locator-Records) in der _msdcs Zone, für die Active Directory Dienste, die er ausführen soll. Wenn das scheitert, wird der neue DC von den bereits existierenden DCs nicht gefunden. Das Resultat sind unterschiedliche Datenbestände, daraus folgen weitere Probleme.

Zur Ermittlung von Fehlern können die Tools RepAdmin und DCDiag eingesetzt werden.

Abfrage des KCC (Knowledge Consistency Checker) Status mit

repadmin /kcc

Knowledge Consistency Checker

Abfrage des letzten Replikationsversuches mit

repadmin /showrepl

Abfrage des letzten Replikationsversuches

Eine Zusammenfassung der Ergebnisse bekommen wir mit

repadmin /replsum

Zusammenfassung repadmin

Bei einer Replikation werden die Daten immer von den Partnern angefordert (Pull). Man kann die Replikation aber auch pushen und zwar mit dem Parameter /p.

In diesem Beispiel drücke ich die Daten der Partitionen von DC1 an den Replikationspartner DC2 (Einweg). Mögliche Partionsdaten wären:

  • Configuration
  • DomainDnsZones
  • ForestDnsZones
  • Schema

repadmin syncall DC1 /p

Replikation pushen

Die komplette Zusammenfassung zur Fehleranalyse könnt ihr hier herunterladen.

Kerberos Protokollierung

Die Aktivierung der Auditfunktion kann bei der Fehleranalyse sehr hilfreich sein. Damit lassen sich detallierte Informationen zur Authentifizierung anzeigen.