Active Directory is een van die services waarbij, als het niet goed werkt, de rest ook in elkaar stort. Geen login meer, geen groepsbeleid, helemaal niets. Dat is behoorlijk cruciaal en eerlijk gezegd ook best frustrerend, want Windows heeft zoveel ingebouwde tools om de gezondheid van AD te controleren. Maar uitzoeken welke tools je moet gebruiken en wat ze betekenen, kan verwarrend zijn. Deze handleiding gaat over het leren gebruiken van die tools, zoals dcdiag en repadmin, om problemen op te sporen voordat ze uitgroeien tot een regelrechte crisis. Het idee is om snel controles uit te voeren, een beeld te krijgen van wat wel en niet werkt, en hopelijk ter plekke een aantal problemen op te lossen zonder al te veel frustratie.
Hoe controleer je de status van Active Directory en domeincontrollers?
Dcdiag gebruiken om domeincontrollers te diagnosticeren
Dcdiag (oftewel Domain Controller Diagnostic) is een soort Zwitsers zakmes voor Active Directory-statuscontroles. Het is ingebouwd in Windows Server, dus er zijn geen extra installaties nodig. Meestal kunt u het uitvoeren vanuit een PowerShell- of opdrachtprompt met beheerdersrechten. Als uw hoofd-DC bijvoorbeeld DC01 heet, opent u deze PowerShellen typt u het volgende in:
dcdiag /s:DC01Deze tool voert een reeks tests uit, zoals controleren of de domeincontroller is geregistreerd in DNS, of deze LDAP kan bereiken en of de services correct werken. In de meeste configuraties geeft deze tool bij elke test een ‘Geslaagd’ of ‘Mislukt’ resultaat. Dit helpt u snel te achterhalen waar problemen zich voordoen, of het nu gaat om DNS-problemen, replicatiefouten of servicefouten.
Sommige tests zijn gedetailleerder, zoals de topologietest (waarbij wordt gecontroleerd of de KCC een volledige topologie heeft gegenereerd), de DNS-test (waarbij wordt gecontroleerd of DNS namen correct registreert en oplost) of de systeemlogboektest (waarbij fouten in gebeurtenislogboeken worden opgespoord).Wilt u specifiek de DNS-status controleren? Dan kunt u het volgende toevoegen:
dcdiag.exe /s:DC01 /test:dns /e /vDit geeft gedetailleerde DNS-testresultaten weer voor alle domeincontrollers. Als er veel fouten zijn, is het tijd om de DNS-problemen op te lossen, waarschijnlijk met betrekking tot DNS-forwarders of zone-registraties.
Nog een handige functie: sla de uitvoer op in een logbestand voor latere raadpleging.
dcdiag /s:DC01 /v >> c:\logs\dc01_dcdiag_test.logEn als je alleen een samenvatting wilt zien van wat wel en niet is gelukt? Dan kun je dat filteren met PowerShell:
Dcdiag /s:DC01 | select-string -pattern '\.(.*) \b(passed|failed)\b test (.*)'Dit is best handig als je snel naar problemen zoekt zonder door eindeloze details te hoeven spitten.
Diagnose van replicatie met repadmin
Zodra de domeincontrollers met elkaar communiceren, moet je ervoor zorgen dat ze synchroniseren. Daarvoor is repadmin handig. Het is de tool waarmee je kunt controleren of de replicatie goed verloopt. Het eenvoudigste commando:
repadmin /replsumDit geeft een snel overzicht van de huidige status — als er replicatiefouten zijn, wordt dit aangegeven. Normaal gesproken, als alles goed gaat, zijn de delta-tijden minder dan een uur en zijn er geen fouten. Als er lange vertragingen of fouten worden weergegeven, is dat een teken dat u de oorzaak moet achterhalen.
Voor een gedetailleerder overzicht van de replicatietopologie, fouten en de laatst succesvolle replicatie:
repadmin /showreplWil je alleen de problemen zien? Voeg toe:
repadmin /showrepl * Of controleer de replicatie binnen het domein met:
repadmin /showrepl /domain:yourdomain.comSoms lost het forceren van replicatie problemen op — als je er vrij zeker van bent dat er iets niet gesynchroniseerd is:
repadmin /syncall /AdePHiermee worden updates van uw peers opgehaald. Of, als u de replicatiewachtrij wilt bekijken om er zeker van te zijn dat alles is verwerkt:
repadmin /queuePro-tip: Voor meer gedetailleerde, scriptbare controles zijn PowerShell-opdrachten zoals Get-ADReplicationFailureof Get-ADDomainControllererg handig. Er is zelfs een handig script op GitHub dat een HTML-rapport genereert en de resultaten naar je kan e-mailen — superhandig voor regelmatige monitoring, vooral als je een groot aantal domeincontrollers beheert.
Bekijk dit [PowerShell-script](https://github.com/maxbakhub/winposh/blob/main/ADHealthCheck.ps1) voor een eenvoudige manier om de status van Active Directory in de gaten te houden zonder elke keer handmatig alle commando’s uit te voeren.
De basisservices van de domeincontroller verifiëren
Naast het uitvoeren van diagnoses is het belangrijk om te controleren of essentiële services actief zijn. Voer dit commando uit in PowerShell:
Get-Service -name ntds, adws, dns, dnscache, kdc, w32time, netlogonAls een van de processen is gestopt of niet goed functioneert, dan is dat mogelijk de oorzaak. Controleer ook of de gedeelde mappen voor SYSVOL en NETLOGON toegankelijk zijn.
net shareAls SYSVOL of NETLOGON niet gedeeld of toegankelijk is, worden domeinbeleidsregels niet gedistribueerd en kunnen er vertrouwensproblemen ontstaan. Om de status van de GPO’s te controleren, opent u gpmc.msc (Group Policy Management Console) en voert u ‘Nu detecteren’ uit om te verifiëren of de GPO-gegevens in Active Directory overeenkomen met de gegevens in SYSVOL.
En, als praktische tip: controleer of de tijdsynchronisatie nauwkeurig is. Verschillen van een paar seconden kunnen namelijk authenticatieproblemen veroorzaken. Voer het volgende commando uit:
w32tm /monitorHoud uw Active Directory-omgeving goed in de gaten. Als er iets mis is, kan het oplossen van problemen soms zo simpel zijn als het herstarten van een service of het herstellen van de DNS-instellingen. Andere keren moet u de replicatietopologie resetten of de GPO-koppelingen aanpassen. Het is misschien wat vervelend, maar deze tools geven u een goede kans om problemen vroegtijdig op te sporen.
Want eerlijk gezegd maakt Windows het oplossen van Active Directory-problemen een beetje ingewikkeld, maar het is te doen als je eenmaal weet hoe je met deze commando’s en controles moet omgaan.
Samenvatting
- Gebruik dcdiag om snel een statusoverzicht van uw domeincontrollers te krijgen.
- Voer repadmin -opdrachten uit om replicatieproblemen te begrijpen en op te lossen.
- Controleer de kernservices met Get-Service en verifieer de toegankelijkheid van gedeelde mappen.
- Houd de tijdsynchronisatie in de gaten om vreemde problemen met domeinvertrouwen te voorkomen.
Samenvatting
Door vertrouwd te raken met deze ingebouwde tools kunt u urenlang kopzorgen besparen. Ze zijn ontworpen voor snelle diagnose, dus vergeet niet om ze te combineren met gebeurtenislogboeken of GPO-controles voor een volledig beeld. Soms zie ik kleine DNS-configuratiefouten grote problemen met Active Directory veroorzaken – zo gaat dat toch altijd? Veel succes met het oplossen van problemen, en hopelijk helpt dit om potentiële problemen vroegtijdig op te sporen. Hopelijk scheelt dit iemand een paar uur die zijn Active Directory weer aan de praat probeert te krijgen.