Windows Server 2016 Grundkurs: Active Directory

Nltest zur Diagnose verwenden

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Bei der Analyse von Active Directory sind Tools zur Überprüfung der korrekten Namensauflösung sehr wichtig. Beispielsweise können Sie über das in diesem Video vorgestellte Befehlszeilentool Nltest feststellen, zu welchen Standorten Ihre Domänencontroller zugewiesen sind.
06:14

Transkript

In diesem Video zeige ich Ihnen die Überprüfung von Active Directory und den Standorten mit nltest. nltest ist ein Tool in der Befehlszeile, mit dem Sie verschiedene Tests durchführen können. Zum einen können Sie für die Domänencontroller überprüfen, zu welchem Standort Sie zugewiesen sind, das heißt, mit nltest /dsgetside sehen Sie den zugewiesenen Active Directory-Standort. Rufen Sie dann in der Konsole für die Active Directory-Standorte und -Dienste Ihre Standorte auf, können Sie die entsprechende Konfiguration verifizieren. Das heißt, Sie sehen hier, unter diesem Standort Bad-Wimpfen, gibt es die beiden Domänencontroller JOOSDC1 und JOOSDC2. Darunter wiederum sehen Sie die NTDS-Settings, das heißt, Sie sehen die Einstellungen für Active Directory für diese beiden Domänencontroller und auch die automatisch hergestellten Replikationsverbindungen. Grundsätzlich sollten Sie überprüfen, ob die Replikationsverbindungen funktionieren. Funktionieren diese nicht? Über das Kontextmenü mit Jetzt replizieren, können Sie mit nslookup überprüfen: Funktioniert die Namensauflösung? Können mit nltest überprüfen: Sind die Domänencontroller überhaupt am korrekten Standort zugewiesen? Um dadurch sicherzustellen, dass sie replizieren können. Die Replikation selbst überprüfen Sie dann zum Beispiel mit repadmin /showreps (tippt) und dadurch sehen Sie die letzten durchgeführten Replikationsverbindungen und auch die Uhrzeit. Hier ist es natürlich sinnvoll zu überprüfen: Wann war denn die letzte erfolgreiche Synchronisierung? Und so erkennen Sie recht schnell, welche Domänencontroller und welche Verbindungen unter Umständen nicht funktionieren. nltest kann zusätzlich noch eine Liste der Domänencontroller ausgeben. Dazu verwenden Sie nltest /dclist: und dann den NetBIOS-Namen der Domäne und schon erhalten Sie eine Liste der verfügbaren Domänencontroller. Diese Liste können Sie wiederum dazu verwenden, um zum Beispiel mit nslookup zu überprüfen: Funktionieren denn diese Domänencontroller untereinander? Das heißt, lassen Sie sich zum einen anpingen? Funktioniert die Namensauflösung der Domänencontroller? Das teste ich wiederum mit nslookup und kann jetzt hier überprüfen: Funktioniert die Namensauflösung des Domänenncontrollers JOOSDC1 und JOOSDC2? nltest ist also ein wichtiges Tool, um Ihnen Grundlageninformation darüber zu geben, auch darüber, welcher Domänencontroller zum Beispiel der aktuelle PDC-Master ist. Neben den Eintragungen, die Sie in DNS vornehmen können mit netlogon DNS, spielen natürlich auch die Daten von Active Directory eine wichtige Rolle. Diese sind im Verzeichnis gespeichert, das sie beim heraufstufen des Servers zum Domänencontroller festgelegt haben. Standardmäßig ist das das Verzeichnis Windows und dann NTDS. Hier finden Sie die verschiedenen Dateien. Besonders wichtig ist hier die ntds.dit, dabei handelt es sich um die Active Directory-Datenbank, die auf jedem Domänencontroller repliziert wird. Die anderen Dateien sind die Transaktionsprotokolle, die natürlich ebenfalls nicht gelöscht werden dürfen. Hier sind also die wichtigsten Daten von Active Directory gespeichert, die unter Umständen auch von den verschiedenen Tools zur Diagnose verwendet werden. Die Daten wiederum arbeiten ebenfalls wieder wichtig zusammen mit DNS und hier müssen Sie zum einen sicherstellen, dass in der DNS-Zone die vorhanden sind, vor allem in den Untereinträgen für _msdcs, die verschiedenen CNAMEs vorhanden sind, das heißt, hier werden die Eintragungen vorgenommen für die Domänencontroller. Sie sehen hier jeweils die verschiedenen Standorte, die vorhanden sind. Sie sehen die verschiedenen LDAP-Verbindungen. All diese Einträge, auch die Domänen, müssen hier entsprechend vorhanden sein, dass die Verbindung funktioniert. Wichtig sind hier die einzelnen CNAMEs auch für die entsprechenden Domänencontroller, die vorhanden sind, für die globalen Kataloge, für die Standorte, das alles muss hier entsprechend vorhanden sein und es dürfen hier entsprechend auch keine Fehlermeldungen angezeigt werden. Für Domänenncontroller besonders wichtig, sind die Aliase also die CNAMEs, die für jeden Domänencontroller angelegt werden. Das sind diese Namen hier, das sind die GUIDs, und diese müssen angezeigt werden für jeden Domänencontroller der Domäne, wenn sie unterhalb der Zone auf _msdcs klicken, und diese Einträge müssen vorhanden sein, da ansonsten Probleme bei der Namensauflösung existieren beziehungsweise bei der Replikation. Denn standardmäßig versuchen sich Domänencontroller bei der Replikation nicht mit ihrem echten Namen zu replizieren, sondern eben mit ihrer GUID und den Einträgen, die hier in Active Directory vorhanden sind. Ich fasse noch einmal zusammen: Bezüglich der Fehlerbehebung beziehungsweise der Überprüfung von Active Directory kommen Sie immer wieder zu Tests zu Namensauflösung, weil die Namensauflösung zentraler Bestandteil einer funktionierenden Active Directory-Umgebung sind. Sie müssen daher sicherstellen, dass zum einen mit Tools wie nslookup aber auch mit Tools mit nltests keine Fehler angezeigt werden, wenn Sie Überprüfungen durchführen. Und mit nltest können Sie relativ schnell wichtige Informationen erhalten: An welchen Standorten ist denn ein Domänencontroller zugewiesen? Sie sehen das zwar auch hier, an den entsprechenden Tools in der grafischen Oberfläche, aber in der Befehlszeile geht es wesentlich schneller. Zusätzlich können Sie dann mit Tools wie nslookup weitere Tests durchführen, auch mit dcdiag, und in der DNS-Verwaltungskonsole können Sie zum einen überprüfen, ob die notwendigen Einstellungen für Active Directory vorhanden sind. Falls diese Einträge nicht mehr vorhanden sind, kann sich Active Directory teilweise selbst reparieren, indem die entsprechenden Daten aus vorhandenen Konfigurationsdateien erneut in die Active Directory-Datenbank integriert werden.

Windows Server 2016 Grundkurs: Active Directory

Lernen Sie die Arbeit mit dem Active Directory in Windows Server 2016 kennen.

2 Std. 6 min (15 Videos)
Derzeit sind keine Feedbacks vorhanden...
Hersteller:
Exklusiv für Abo-Kunden
Erscheinungsdatum:21.08.2017

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!