So überprüfen Sie den Zustand und die Replikation von Active Directory-Domänencontrollern

Active Directory ist einer dieser Dienste, bei denen, wenn er nicht richtig funktioniert, praktisch alles andere zusammenbricht. Keine Anmeldung, keine Gruppenrichtlinien, einfach gar nichts. Ziemlich kritisch und ehrlich gesagt ziemlich frustrierend, denn Windows bietet zwar viele integrierte Tools zur Diagnose des AD-Zustands – aber herauszufinden, welche man verwenden soll und was sie bedeuten, kann verwirrend sein. Dieser Leitfaden hilft Ihnen, diese Tools wie dcdiag und repadmin besser zu verstehen und sie zu nutzen, um Probleme zu erkennen, bevor sie sich zu ausgewachsenen Krisen entwickeln. Ziel ist es, schnelle Überprüfungen durchzuführen, einen Überblick darüber zu bekommen, was funktioniert und was nicht, und idealerweise einige Probleme direkt zu beheben, ohne sich die Haare zu raufen.

So überprüfen Sie den Zustand von Active Directory und Domänencontrollern

Verwendung von Dcdiag zur Diagnose von Domänencontrollern

Dcdiag (Domänencontroller-Diagnose) ist so etwas wie das Schweizer Taschenmesser für AD-Integritätsprüfungen. Es ist in Windows Server integriert, daher ist keine zusätzliche Installation erforderlich. Normalerweise können Sie es über eine PowerShell- oder Eingabeaufforderung mit Administratorrechten ausführen. Wenn Ihr Haupt-Domänencontroller beispielsweise DC01 heißt, öffnen Sie einfach die PowerShellEingabeaufforderung und geben Sie Folgendes ein:

dcdiag /s:DC01

Dieses Skript führt eine Reihe von Tests durch, z. B.ob der Domänencontroller im DNS registriert ist, LDAP erreichen kann oder ob die Dienste ordnungsgemäß funktionieren. In den meisten Konfigurationen liefert es bei jedem Test ein Ergebnis (bestanden / nicht bestanden ).So können Sie schnell die Ursache von Problemen ermitteln, seien es DNS-Probleme, Replikationsfehler oder Dienstausfälle.

Einige Tests sind detaillierter, wie z. B.Topologie (Überprüfung, ob der KCC eine vollständige Topologie generiert hat), DNS (Sicherstellung, dass DNS-Einträge korrekt registriert und aufgelöst werden) oder Systemprotokoll (Erkennen von Fehlern in Ereignisprotokollen).Möchten Sie speziell den DNS-Status überprüfen? Dann können Sie Folgendes hinzufügen:

dcdiag.exe /s:DC01 /test:dns /e /v

Dies liefert detaillierte DNS-Testergebnisse für alle Domänencontroller. Bei vielen Fehlern sollten Sie sich auf die DNS-Fehlerbehebung konzentrieren – wahrscheinlich auf DNS-Weiterleitungen oder Zonenregistrierungen.

Noch ein praktischer Tipp: Speichern Sie die Ausgabe in einer Protokolldatei, um sie später überprüfen zu können.

dcdiag /s:DC01 /v >> c:\logs\dc01_dcdiag_test.log

Und wenn Sie nur eine Zusammenfassung der erfolgreichen und fehlgeschlagenen Aktionen sehen möchten? Dann können Sie diese mit PowerShell filtern:

Dcdiag /s:DC01 | select-string -pattern '\.(.*) \b(passed|failed)\b test (.*)'

Das ist recht hilfreich, wenn man nach Problemen sucht, ohne sich durch endlose Details wühlen zu müssen.

Replikationsdiagnose mit repadmin

Sobald die Domänencontroller miteinander kommunizieren, müssen Sie sicherstellen, dass sie synchronisiert werden. Hier kommt repadmin ins Spiel. Es ist Ihr Standardtool, um zu überprüfen, ob die Replikation einwandfrei funktioniert. Der einfachste Befehl:

repadmin /replsum

Dies bietet einen schnellen Überblick über den aktuellen Status – Replikationsfehler werden angezeigt. Normalerweise liegen die Delta-Zeiten unter einer Stunde und es treten keine Fehler auf, wenn alles in Ordnung ist. Werden längere Verzögerungen oder Fehler angezeigt, ist dies ein Hinweis darauf, genauer hinzusehen.

Für eine detailliertere Ansicht der Replikationstopologie, der Fehler und der letzten erfolgreichen Replikation:

repadmin /showrepl

Möchten Sie nur die Ausgaben sehen? Hinzufügen:

repadmin /showrepl * 

Oder überprüfen Sie die Replikation in der gesamten Domäne mit:

repadmin /showrepl /domain:yourdomain.com

Manchmal behebt das Erzwingen der Replikation das Problem – wenn man sich ziemlich sicher ist, dass etwas nicht synchron ist:

repadmin /syncall /AdeP

Dadurch werden Aktualisierungen von Ihren Peers abgerufen. Oder, falls Sie die Replikationswarteschlange einsehen möchten, um sicherzustellen, dass alles geleert ist:

repadmin /queue

Profi-Tipp: Für detailliertere, skriptbasierte Prüfungen sind PowerShell-Befehle wie `check` Get-ADReplicationFailureoder ` Get-ADDomainControllercheck` sehr hilfreich. Auf GitHub gibt es sogar ein praktisches Skript, das einen HTML-Bericht erstellt und Ihnen die Ergebnisse per E-Mail zusenden kann – äußerst nützlich für die regelmäßige Überwachung, insbesondere wenn Sie mehrere Domänencontroller verwalten.

Schauen Sie sich dieses [PowerShell-Skript](https://github.com/maxbakhub/winposh/blob/main/ADHealthCheck.ps1) an, um die AD-Integrität einfach im Auge zu behalten, ohne jedes Mal alle Befehle manuell ausführen zu müssen.

Überprüfung der grundlegenden Domänencontrollerdienste

Über die reine Diagnose hinaus ist es ratsam, sicherzustellen, dass die wichtigsten Dienste ausgeführt werden. Führen Sie dazu folgenden Befehl in PowerShell aus:

Get-Service -name ntds, adws, dns, dnscache, kdc, w32time, netlogon

Falls eine der Anwendungen nicht mehr reagiert oder Fehlfunktionen aufweist, könnte dies die Ursache sein.Überprüfen Sie außerdem, ob die freigegebenen Ordner für SYSVOL und NETLOGON zugänglich sind.

net share

Wenn SYSVOL oder NETLOGON nicht freigegeben oder zugänglich sind, werden Domänenrichtlinien nicht verteilt, und es können Vertrauensprobleme auftreten. Um den Zustand der Gruppenrichtlinienobjekte (GPOs) zu überprüfen, öffnen Sie gpmc.msc (Gruppenrichtlinien-Verwaltungskonsole) und führen Sie eine „Jetzt erkennen“-Prüfung durch, um sicherzustellen, dass die GPO-Daten in Active Directory mit den Daten in SYSVOL übereinstimmen.

Und noch ein praktischer Hinweis: Überprüfen Sie, ob Ihre Zeitsynchronisierung präzise ist – Abweichungen von wenigen Sekunden können Authentifizierungsprobleme verursachen. Führen Sie Folgendes aus:

w32tm /monitor

Grundsätzlich sollten Sie Ihre Active Directory-Umgebung im Auge behalten. Wenn etwas nicht stimmt, lässt sich das Problem manchmal so einfach beheben wie durch einen Neustart eines Dienstes oder die Korrektur des DNS-Servers. In anderen Fällen müssen Sie die Replikationstopologie zurücksetzen oder die Gruppenrichtlinienverknüpfungen anpassen. Das ist zwar etwas lästig, aber diese Tools geben Ihnen die Möglichkeit, Probleme frühzeitig zu erkennen.

Denn ehrlich gesagt macht Windows die Fehlersuche in Active Directory etwas kompliziert, aber sie ist machbar, sobald man sich mit diesen Befehlen und Prüfungen auskennt.

Zusammenfassung

  • Verwenden Sie dcdiag, um einen schnellen Überblick über den Zustand Ihrer Domänencontroller zu erhalten.
  • Führen Sie repadmin -Befehle aus, um Replikationsprobleme zu verstehen und zu beheben.
  • Prüfen Sie die Kerndienste mit Get-Service und vergewissern Sie sich, dass die Freigabe zugänglich ist.
  • Überwachen Sie die Zeitsynchronisierung, um ungewöhnliche Probleme mit der Domänenvertrauensstellung zu vermeiden.

Zusammenfassung

Sich mit diesen integrierten Tools vertraut zu machen, kann stundenlange Frustration ersparen. Sie sind für die schnelle Diagnose konzipiert, daher sollten Sie sie unbedingt mit Ereignisprotokollen oder Gruppenrichtlinienprüfungen kombinieren, um ein vollständiges Bild zu erhalten. Manchmal habe ich erlebt, dass kleinere DNS-Fehlkonfigurationen große Probleme mit Active Directory verursachen – ist das nicht immer so? Viel Erfolg bei der Fehlersuche und hoffentlich hilft dies, potenzielle Probleme frühzeitig zu erkennen. Hoffentlich spart dies jemandem, der versucht, sein Active Directory wiederherzustellen, einige Stunden.