Windows Server: Troubleshooting bei Active Directory- und DNS-Replikation

Inhaltsverzeichnis:

1. Rolleninhaber
für Flexible Single Master Operations (FSMO) findenarabische Ziffer. Problem eingrenzen
3. Anmelden Visuelle Überprüfung des DNS
4. Visuelle Inspektion von Standorten und Services
5. Anmelden Verwenden von Ereignis-IDs, um das Troubleshooting
einzugrenzen6. Anmelden Andere Tools

Thema 1. Suchen Sie die Rolleninhaber von Flexible Single Master Operations (FSMO):

Beginnen Sie mit der Suche nach den Domain Controllern (DCs) in der Organisation. Konzentriere dich auf die Gesundheit deiner Waldwurzel und arbeite dich nach draußen.

Suchen Sie die FSMO-Rolleninhaber, indem Sie eine Eingabeaufforderung mit erhöhten Rechten öffnen und Folgendes eingeben:

netdom query fsmo

Dies gibt eine Liste der DCs zurück, die jede Rolle innehaben:

Thema 2. Grenzen Sie das Problem ein:

Um das Problem einzugrenzen, müssen Sie systematisch vorgehen. Verwenden Sie die folgenden Tools, um verschiedene DCs, ihre Verbindung mit der Root-Domain oder dem Rolleninhaber, ihre Fähigkeit, Namen in IP-Adressen aufzulösen, offene Ports und Replikationsergebnisse zu testen.

Versuchen Sie, einen bestimmten Server zu ermitteln, der nicht kommuniziert, und ermitteln Sie, ob der Quell- oder Zielserver die Ursache ist. Ereignisprotokolle und Replikationsergebnisse sind Möglichkeiten, zusätzliche Informationen zu erhalten.

• dcdiag /v /c /d /e /s: > c:\dcdiag.txt
• ipconfig /all (von allen DCs und DNS-Servern)
• repadmin /showrepl (von jedem Rechenzentrum)
• repadmin /replsum
• dcdiag /test:dns /s: /dnsbasic
• repadmin /syncall /aped
• Pingen Sie jeden DC anhand des Namens an und überprüfen Sie, ob der Name in die richtige IP-Adresse aufgelöst wird.
• Verwenden Sie nslookup , um DNS über verschiedene DCs hinweg zu testen.
• Verwenden Sie tracert , um die Routen zwischen Servern zu testen.
• repadmin /bind servername - Können die DCs aneinander binden?

Thema 3. Visuelle Überprüfung des DNS:

Öffnen Sie die DNS-Konsole, indem Sie zu Start –>Verwaltung –> DNS wechseln. Klicken Sie im linken Bereich auf den DNS-Server.

Überprüfen Sie die Zonen für die Vorwärtssuche und alle anderen Zonen, die sich auf die Gesamtstruktur- und Domänenpartitionen beziehen.

Anleitungen finden Sie bei Microsoft TechNet unter diesem Link: Troubleshooting DNS

Zu den Dingen, auf die Sie in der DNS-Konsole achten sollten, gehören:

• Beginn der Autorität (Eigenschaften) – mehrere Namen für Server, die nicht vorhanden sind.
• Einträge mit falschen IP-Adressen.
• Veraltete Datensätze, die nicht gelöscht wurden.
• "(Same as parent folder)" -Hostdatensätze, die nicht auf die DCs verweisen.
• Suchen Sie den Anfang der SOA-Einträge (Authority Records) und Name Server (NS) in der Domain Forward Lookup Zone (siehe Abbildung unten).
  • Klicken Sie mit der rechten Maustaste darauf und wählen Sie Eigenschaften aus.
  • Überprüfen Sie, ob die Nameserver und andere Informationen korrekt sind.
• Schauen Sie in die _msdcs .
• Fehlende Einträge?

 

Weitere Informationen zur DNS-Infrastruktur finden Sie auf der Seite Microsoft TechNet DNS-Server.

Thema 4. Visuelle Inspektion von Standorten und Services:

Die Konsole für Active Directory-Standorte und -Dienste enthält mehrere Elemente, die beim Troubleshooting von Replikationsfehlern helfen können. Überprüfen und öffnen Sie jeden Ordner und suchen Sie nach Folgendem:

• Überprüfen Sie, ob Subnetze erstellt und den richtigen Standorten zugewiesen wurden.
• Stellen Sie sicher, dass jedes Standortobjekt die richtigen Server enthält.
• Überprüfen Sie die NTDS-Einstellungen, um die Replikationsverbindungen zu überprüfen.
• Überprüfen Sie, ob die Servernamen vorhanden sind.

Thema 5. Verwenden Sie Ereignis-IDs, um das Troubleshooting einzugrenzen:

 
AD-bezogene Fehler finden Sie in der Ereignisanzeigenkonsole . 
Der schnellste Weg dorthin führt über Start –>Ausführen und Eingabe eventvwr.mscaus.
Zu den relevanten Ereignisprotokollen zählen das System-, DNS-, Verzeichnisdienst- und Dateireplikationsdienstprotokoll

.Verwenden Sie die folgenden Artikel, um die nächsten Schritte basierend auf den in den Protokollen gefundenen Fehlern zu bestimmen:

• Troubleshooting von Replikationsproblemen
• Funktionsweise der AD-Replikationstopologie
• Troubleshooting von Active Directory-Replikationsproblemen

Thema 6. Weitere Werkzeuge:

Nltest ist ein nützliches Befehlszeilentool, das viele Arten von Informationen über eine AD-Domäne zurückgeben kann. 
Der Metadatenbereinigungsprozess wird verwendet, um AD-Verweise auf DCs zu entfernen, die offline geschaltet wurden, ohne ordnungsgemäß heruntergestuft zu werden.
Veraltete Objekte sind AD-Objekte, die von einem DC gelöscht wurden, aber aufgrund eines Replikationsfehlers auf einem anderen DC verbleiben.
Das Entfernen dieser Objekte ist ein erforderlicher Schritt zur Wiederherstellung einer ordnungsgemäßen Replikation.

• "So entfernen Sie Daten aus Active Directory nach einer erfolglosen Domänen-Controller-Herabstufung"
• Bereinigen von Servermetadaten
• Nltest
• Bereinigen Sie diese Active Directory-Gesamtstruktur von veralteten Objekten.