Gajus - stock.adobe.com
Beheben von Fehlern bei der Active-Directory-Replikation
Fehler bei der Replikation zwischen Domänencontrollern können das ganze System ins Chaos stürzen. In diesem Artikel geben wir fünf Tipps für das schnelle Finden von Problemen.
Active Directory verwendet Replikation, um Daten zwischen Domänencontrollern konsistent zu halten: Wenn Sie einen Domänencontroller erstellen, löschen oder ändern, wird die Änderung auf die anderen Controller in der Domäne repliziert.
Die Fehlerbehebung bei der Active-Directory-Replikation kann sich allerdings als schwierig erweisen, da es viele verschiedene Fehlerquellen gibt. Zwei der gängigen Ursachen sind etwa der Verlust von Netzwerkkonnektivität oder ein DNS-Konfigurationsfehler (Domain Name System). Replikationsfehler können aber auch als Folge von Authentifizierungs-Fehlern oder dann auftreten, wenn der Domänencontroller nicht über die notwendigen Hardwareressourcen verfügt, um die eingehenden Anfragen zu bearbeiten.
Die folgenden Tipps erheben nicht Anspruch auf Vollständigkeit. Vielmehr sollen sie einen Überblick über die häufigsten Probleme bei der Active-Directory-Replikation bieten.
Schritt eins: Grundlagen prüfen
Wenn Sie den Fehlerbehebungsprozess für die Active Directory-Replikation starten, sollten Sie am besten zuerst die klassischen Problemursachen ausschließen. Stellen Sie also sicher, dass die Domänencontroller überhaupt eingeschaltet sind, funktionieren und über das Netzwerk Kontakt herstellen können. Es ist auch wichtig, dass Ihre Firewalls so konfiguriert sind, dass sie RPC-Verkehr (Remote Procedure Call) auf Port 135 zulassen.
Nehmen Sie sich ebenfalls die Zeit, alle aktuellen Änderungen an Ihrem Netzwerk zu überprüfen. Dazu gehören Anpassungen der DNS-Konfiguration, Änderungen an der Netzwerktopologie oder Änderungen des Dynamic Host Configuration Protocol (DHCP).
Darüber hinaus gibt es mehrere Systemdienste, die ohne Probleme auf Ihren Domänencontrollern laufen müssen, damit die Active Directory-Replikation ordnungsgemäß funktioniert. Sie können den Dienststeuerungs-Manager (SCM, Service Control Manager) oder das Cmdlet Get-Service der PowerShell verwenden, um zu überprüfen, dass sämtliche erforderlichen Komponenten ausgeführt werden; namentlich die DNS-Infrastruktur, das Kerberos-Authentifizierungsprotokoll, der Windows-Zeitdienst (W32time), RPC und die Netzwerkkonnektivitätsdienste.
Stellen Sie sicher, dass alle Uhren Ihrer Domänencontroller synchronisiert sind. Active Directory verlässt sich auf das Kerberos-Protokoll, das ziemlich empfindlich auf Zeitabweichungen reagiert. Wenn die Uhren der Domänencontroller um mehr als ein paar Minuten aus der Synchronität fallen, führt dies dazu, dass Kerberos nicht mehr arbeitet. Daraus kann sich eine ganze Reihe von Problemen ergeben.
Schritt zwei: Fehlerbehebung mit DCDiag
Windows stellt mehrere systemeigene Tools zur Verfügung, mit denen Sie herausfinden können, warum Sie Probleme mit der Active-Directory-Replikation haben. Eines der ersten Tools, die Sie zu Rate ziehen sollten, ist DCDiag.
DCDiag ist ein universell einsetzbares Active-Directory-Diagnose-Tool. Es wurde zwar nicht speziell für die Fehlerbehebung bei der Active-Directory-Replikation entwickelt, ist aber ein großartiges Tool für den Anfang Ihrer Suche. Probleme bei der Active-Directory-Replikation sind oft nur ein Symptom für tiefer liegende Probleme. Reicht Ihr eigentliches Problem also über die Replikation hinaus, kann das Tool DCDiag bei der Lokalisierung helfen.
Um das DCDiag-Tool zu verwenden, öffnen Sie auf einem Domänencontroller mit Replikationsproblem die Eingabeaufforderung als Administrator. Geben Sie dann den Befehl DCDiag ein. Nun führt Windows eine Reihe von Tests aus, um den Zustand verschiedener Active-Directory-Komponenten zu beurteilen. Ein Beispiel hierfür sehen Sie in Abbildung 1.
Wenn DCDiag auf dem aktuellen Domänencontroller keine Probleme findet, kann es sich lohnen, alle anderen ebenfalls zu überprüfen, da sich mitunter das Problem nur auf diesen finden lässt.
Schritt drei: Active Directory Replication Status Tool
Nachdem Sie den allgemeinen Zustand Ihrer Active-Directory-Umgebung überprüft haben, sollten Sie das Active Directory Replication Status Tool ausführen. Dieses Tool ist nicht ab Werk in Windows enthalten, wird Ihnen aber von Microsoft kostenfrei unter diesem Link auf Englisch zur Verfügung gestellt.
Das Active Directory Replication Status Tool (Abbildung 2) überprüft Ihre Active-Directory-Umgebung und liefert Ihnen Informationen über den Zustand der Replikation auf den Domänencontrollern.
Verwenden Sie zunächst den Arbeitsbereich auf der linken Seite, um entweder Ihre Gesamtstruktur oder eine bestimmte Domäne innerhalb der Gesamtstruktur für die Überprüfung auszuwählen.
Klicken Sie danach auf die Schaltfläche Refresh Replication Status. Das Tool sammelt jetzt Informationen von Ihren Domänencontrollern. Auf der Registerkarte Environment Discovery, die Sie ebenfalls in der vorherigen Abbildung sehen, werden die Active-Directory-Knoten und deren Status angezeigt.
Ähnlich zeigt die Registerkarte auch Details zur Ermittlung des Replikationsstatus an (siehe Abbildung 3) – an welchen Stellen also die Replikation erfolgreich ist und wo sie fehlschlägt.
Schritt vier: Details ermitteln mit Replication Status Admin
Das Tool Replication Status Admin, oft auch verkürzend als RepAdmin bezeichnet, ist eines der am häufigsten verwendeten Tools zur Fehlerbehebung bei Problemen mit der Active-Directory-Replikation.
Wenn Sie dieses Tool auf einem Domänencontroller ausführen und /showrepl in die Eingabeaufforderung eingeben, zeigt es alle Domänencontroller an, die Replikationspartner sind, sowie den Status des jeweils letzten Replikationsversuchs.
In Abbildung 4 sehen Sie eine Ausgabe von RepAdmin.
Für diesen Artikel haben wir das RepAdmin-Tool auf einem Domänencontroller in einer kleinen Active-Directory-Domäne ausgeführt. In größeren Umgebungen kann es hilfreich sein, die Informationen in eine CSV-Datei zu exportieren, statt sie auf dem Bildschirm anzeigen zu lassen. Auf diese Weise können Sie die Informationen ganz nach Bedarf sortieren und filtern. Um eine CSV-Datei direkt durch RepAdmin erstellen zu lassen, verwenden Sie diesen Befehl:
RepAdmin /Showrepl * /CSV > showrepl.csv
Im Notfall: defekten Domänencontroller aus dem Netzwerk entfernen
Die in diesem Artikel besprochenen Tools und Techniken sollen Ihnen den Einstieg in die Methodik zur strukturierten Fehlerbehebung bei der Active-Directory-Replikation erleichtern. Falls Sie unter Zeitdruck stehen und eine sofortige Lösung benötigen, können Sie den fehlerhaften Domänencontroller auch gewaltsam aus der Domäne entfernen und dann wieder hinzufügen. Dabei wird fast immer entweder das Problem selbst gelöst oder es werden zusätzliche Hinweise zur Ursache geliefert.