Troubleshooting bei Active Directory- und DNS-Replikation

Artikelzusammenfassung: Dieser Artikel enthält Informationen zur Fehlerbehebung bei Active Directory und DNS-Replikation.

Inhaltsverzeichnis:

1. Rolleninhaber
für Flexible Single Master Operations (FSMO) finden2. Anmelden Problem eingrenzen
3. Anmelden Visuelle Überprüfung des DNS
4. Anmelden Visuelle Inspektion von Standorten und Services
5. Anmelden Verwenden von Ereignis-IDs, um das Troubleshooting
einzugrenzen6. Anmelden Andere Tools verfügbar

Thema 1. Rolleninhaber für Flexible Single Master Operations (FSMO) finden

Beginnen Sie mit der Suche nach den Domain Controllern (DCs) in der Organisation. Konzentriere dich auf die Gesundheit deiner Waldwurzel und arbeite dich nach draußen.

Suchen Sie die FSMO-Rolleninhaber, indem Sie eine Eingabeaufforderung mit erhöhten Rechten öffnen und Folgendes eingeben:

 Netdom-Abfrage FSMO

Dies gibt eine Liste der DCs zurück, die die einzelnen Rollen innehaben:

Thema 2. Problem eingrenzen

Um das Problem einzugrenzen, ist es wichtig, systematisch vorzugehen. Verwenden Sie die folgenden Tools, um verschiedene DCs, ihre Verbindung mit der Root-Domain oder dem Rolleninhaber, ihre Fähigkeit, Namen in IP-Adressen aufzulösen, offene Ports und Replikationsergebnisse zu testen.

Versuchen Sie, einen bestimmten Server zu ermitteln, der nicht kommuniziert, und ermitteln Sie, ob der Quell- oder Zielserver die Ursache ist. Ereignisprotokolle und Replikationsergebnisse sind Möglichkeiten, zusätzliche Informationen zu erhalten.

• dcdiag /v /c /d /e /s: > C:\dcdiag.txt
• ipconfig /all (von allen DCs und DNS-Servern)
• repadmin /showrepl (von jedem DC)
• repadmin /replsum
• dcdiag /test:dns /s: /dnsbasic
• repadmin /syncall /aped
• Pingen Sie jeden DC anhand des Namens an und überprüfen Sie, ob der Name in die richtige IP-Adresse aufgelöst wird.
• Verwenden Sie nslookup, um DNS über verschiedene DCs hinweg zu testen.
• Verwenden Sie tracert, um die Routen zwischen Servern zu testen.
• repadmin /bind servername - Können die DCs aneinander gebunden werden?

Thema 3. Visuelle Überprüfung des DNS

Öffnen Sie die DNS-Konsole, indem Sie zu Start –> Verwaltung –> DNS wechseln. Klicken Sie im linken Bereich auf den DNS-Server.

Überprüfen Sie die Zonen für die Vorwärtssuche und alle anderen Zonen, die sich auf die Gesamtstruktur- und Domänenpartitionen beziehen.

Anleitungen finden Sie bei Microsoft TechNet unter diesem Link: Troubleshooting DNS

Zu den Dingen, auf die Sie in der DNS-Konsole achten sollten, gehören:

• Beginn der Autorität (Eigenschaften) – mehrere Namen für Server, die nicht vorhanden sind.
• Einträge mit falschen IP-Adressen.
• Veraltete Datensätze, die nicht gelöscht wurden.
• "(Same as parent folder)" -Hostdatensätze, die sich nicht auf DCs beziehen.
• Suchen Sie den Anfang der SOA-Einträge (Authority Records) und Name Server (NS) in der Domain Forward Lookup Zone (siehe Abbildung unten).
  • Klicken Sie mit der rechten Maustaste darauf und wählen Sie Eigenschaften aus.
  • Überprüfen Sie, ob die Nameserver und andere Informationen korrekt sind.
• Suchen Sie im Ordner _msdcs.
• Fehlende Einträge?

Weitere Informationen zur DNS-Infrastruktur finden Sie auf der Seite Microsoft TechNet DNS-Server.

Thema 4. Visuelle Inspektion von Standorten und Services

Die Konsole für Active Directory-Standorte und -Dienste enthält mehrere Elemente, die beim Troubleshooting von Replikationsfehlern helfen können. Überprüfen und öffnen Sie jeden Ordner und suchen Sie nach Folgendem:

• Überprüfen Sie, ob Subnetze erstellt und den richtigen Standorten zugewiesen wurden.
• Stellen Sie sicher, dass jedes Standortobjekt die richtigen Server enthält.
• Überprüfen Sie die NTDS-Einstellungen, um die Replikationsverbindungen zu überprüfen.
• Überprüfen Sie, ob die Servernamen vorhanden sind.

Thema 5. Verwenden von Ereignis-IDs zur Eingrenzung des Troubleshootings

 
AD-bezogene Fehler finden Sie in der Ereignisanzeigenkonsole. 
Der schnellste Weg, um dorthin zu gelangen, besteht darin, zu Start - Ausführen zu> wechseln und eventvwr.msc einzugeben.
Zu den relevanten Ereignisprotokollen zählen das System-, DNS-, Verzeichnisdienst- und Dateireplikationsdienstprotokoll.

Verwenden Sie die folgenden Artikel, um die nächsten Schritte basierend auf den in den Protokollen gefundenen Fehlern zu bestimmen:

• Troubleshooting von Replikationsproblemen
• Funktionsweise der AD-Replikationstopologie
• Active Directory-Replikationsstatustool
• Troubleshooting von Active Directory-Replikationsproblemen
• Microsoft Active Directory-Topologiediagrammer

Thema 6. Andere Tools verfügbar

Nltest ist ein nützliches Befehlszeilentool, das viele Arten von Informationen über eine AD-Domain zurückgeben kann. 
Der Metadatenbereinigungsprozess wird verwendet, um AD-Verweise auf DCs zu entfernen, die offline geschaltet wurden, ohne ordnungsgemäß heruntergestuft zu werden.
Veraltete Objekte sind AD-Objekte, die von einem DC gelöscht wurden, aber aufgrund eines Replikationsfehlers auf einem anderen DC verbleiben.
Das Entfernen dieser Objekte ist ein erforderlicher Schritt zur Wiederherstellung einer ordnungsgemäßen Replikation.

• "So entfernen Sie Daten aus Active Directory nach einer erfolglosen Domänen-Controller-Herabstufung"
• Bereinigen von Servermetadaten
• Nltest
• Bereinigen Sie diese Active Directory-Gesamtstruktur von veralteten Objekten.