Sikov - stock.adobe.com

Probleme im Active Directory mit integrierten Tools lösen

Kommt es im Active Directory zu Problemen bei Domänencontrollern, DNS-Einträgen oder der Replikation können Admins mit Tools von Windows Server 2016/2019 bereits viel erreichen.

Es gibt viele Tools und Vorgehensweisen, um Probleme im Active Directory zu beheben. Die beiden Tools nltest.exe und repadmin.exe spielen dabei eine besonders wichtige Rolle, da die Tools zu den Bordmitteln von Windows Server 2016/2019 gehören und sehr einfach in der Bedienung sind. Dazu kommt, dass beide Tools verschiedene Optionen zur Verfügung stellen, mit denen Probleme im Active Directory behoben werden können. Mit beiden Tools lassen sich Replikationsprobleme und lokale Probleme auf Domänencontrollern aufspüren.

Zeigen die in diesem Beitrag beschriebenen Tools Fehler an, könne diese beispielsweise in eine Suchmaschine eingegeben werden. Dadurch erhalten Administratoren sehr schnell einen Ansatz, wie sich das Problem beheben lässt. Durch das Eingrenzen der Probleme, werden diese sehr schnell gefunden und lassen sich so beheben.

Mit nltest und repadmin Probleme auf Domänencontrollern finden

Durch Eingabe von nltest/? zeigt das Tool alle zur Verfügung stehen Optionen an. Zunächst wird mit nltest /dsgetsite überprüft, ob der Domänencontroller dem richtigen Standort zugewiesen wurde. Sobald der Standort richtig erkannt wurde, kann mit repadmin /showreps überprüft werden, ob die Replikation korrekt funktioniert, und wann Daten übertragen wurden. Mit nltest /dclist:<Name der Domäne> kann wiederum abgefragt werden, welche Domänencontroller es in der Domäne gibt.

Abbildung 1: Mit nltest können Admins beispielsweise überprüfen, ob der Domänencontroller auch dem richtigen Standort zugewiesen wurde.
Abbildung 1: Mit nltest können Admins beispielsweise überprüfen, ob der Domänencontroller auch dem richtigen Standort zugewiesen wurde.

Deren Replikation kann dann wiederum mit repadmin /showreps gecheckt werden. Dadurch lassen sich Probleme auf Domänencontroller schnell eingrenzen und damit auch optimal beheben. Mit den kurzen Befehlen können also Standorte, Replikation und Domänencontroller geprüft werden.

Erweiterte Optionen von nltest nutzen

Das Tool nltest bietet weitere Optionen. Beispielsweise können Admins so die DNS-Einträge des Active Directory überprüfen. Mit nltest /dsregdns lassen sich DNS-Einträge von Active Directory reparieren. Informationen kann man mit nltest /dnsgetdc:<FQDN der Domäne> abrufen. Fehler werden schnell erkannt und vor allem worin der Fehler genau begründet ist. Zusammen mit ping lassen sich anschließend die verschiedenen Server anpingen, um deren Verbindung zu überprüfen.

Der Befehl nltest /domain_trusts testet wiederum Verbindungen zwischen Vertrauensstellungen in verschiedenen Umgebungen. Ein weiterer Test ist nltest /sc_query:< Domäne>. Damit lässt sich der Secure Channel zwischen Domänencontrollern testen.

Der Befehl kann nicht auf dem PDC-Master durchgeführt werden, sondern nur auf Domänencontrollern, die eine Verbindung zum PDC-Master aufbauen sollen. Ein weiterer Befehl in dieser Hinsicht ist nltest /sc_verify:<Domäne>. Der Befehl überprüft ebenfalls den Secure Channel. Tauchen hier Probleme auf, lassen sich diese oft über den Befehl nltest /sc_reset:<Domäne> beheben, zum Beispiel mit nltest /sc_reset:erbach.

Die Active Directory-Replikation im Griff behalten mit repadmin

Die wichtigste Option des Befehlszeilen-Tools repadmin ist repadmin /showreps. Hier lassen sich die letzten Verbindungen zur Replikation der Domänencontroller anzeigen und überprüfen. Repadmin bietet aber noch mehr Informationen. Alle zur Verfügung stehenden Optionen werden mit repadmin eingezeigt.

Mit dem Befehl repadmin /replsummary wird eine Zusammenfassung der Replikationen angezeigt. Hier ist auch zu sehen, ob Replikationsfehler im Active Directory auftreten. Der Befehl ist auch in großen Umgebungen hilfreich. Mit repadmin /showreps <Name des DCs> lassen sich Replikationsverbindungen von einzelnen Servern überprüfen. Dadurch können in großen Umgebungen schnell Probleme eingegrenzt werden.

Abbildung 2: Ob mit der Replikation alles in Ordnung ist, lässt sich mit repadmin überprüfen.
Abbildung 2: Ob mit der Replikation alles in Ordnung ist, lässt sich mit repadmin überprüfen.

Mit repadmin /showreps /errorsonly werden nur Replikationsfehler angezeigt. Dadurch lassen sich auch in großen Umgebungen Probleme eingrenzen, da klar wird zwischen welchen Domänencontrollern Probleme bei der Replikation stattfinden.

Mit repadmin /queue wird die Warteschlange der Replikation angezeigt. Die Warteschlange sollte natürlich möglichst klein sein und weiter schrumpfen. Dadurch wird festgestellt, ob es Probleme bei der Replikation auf einzelnen Domänencontrollern gibt. Zusätzlich kann mit repadmin /queue <Name des DC> die Warteschlange auf einzelnen DCs überprüft werden. Damit lassen sich Probleme weiter eingrenzen.

Replikation aktiv durchführen

Das Tool repadmin hilft auch dabei die Replikation durchzuführen, nicht nur die Replikation zu überprüfen. Mit repadmin /syncall wird die Replikation in Active Directory gestartet. Danach kann die Replikation mit den bereits beschriebenen Befehlen überprüft werden. Wurde eine Fehlerbehebung durchgeführt, kann durch das Starten der Replikation und einer weiteren Analyse überprüft werden, ob das Problem mittlerweile behoben wurde.

Nächste Schritte

Gratis-eBook: Security-Tools für das Active Directory

Kostenlose Tools für die Überwachung des Active Directory

Active Directory: Sicherheitslücke mit Freeware aufspüren

Erfahren Sie mehr über Serverbetriebssysteme