Konfiguration eines Computers für die Active Directory-FehlersucheBevor Sie mit einer detaillierten Fehlersuche beginnen können, müssen Sie den Computer entsprechend konfigurieren und benötigen ein grundlegendes Verständnis zu den Konzepten, Verfahren und Tools, die mit der Fehlersuche unter Windows Server 2003 im Zusammenhang stehen. Weitere Informationen zu den Überwachungstools für Windows Server 2003 finden Sie unter http://go.microsoft.com/fwlink/?LinkId=59526. Konfigurationsschritte für die FehlersucheDie folgenden Aufgaben sollten Sie ausführen: | • | Installation von Windows Server 2003 SP1 | | • | Installation der Windows Support Tools | | • | Installation des Netzwerkmonitors | | • | Definieren des Protokollierungslevels |
Installation von Windows Server 2003 SP1Wenn möglich, aktualisieren Sie die Domänencontroller auf Windows Server 2003 Service Pack 1 (SP1). Installation der Windows Support ToolsUm die Diagnosemöglichkeiten zu verbessern, sollten Sie die Windows Support Tools von Windows Server 2003 SP1 installieren. Zur SP1-Version der Windows Support Tools gehören verbesserte Versionen von Dcdiag.exe und Repadmin.exe. Optionen für das Ausführen der SP1-Windows Support ToolsUnter den folgenden Betriebssystemen können Sie die Windows Support Tools von Windows Server 2003 SP1 ausführen: | • | Windows Server 2003 mit SP1 | | • | Windows Server 2003 ohne SP1 |
Einige Tools, wie Repadmin.exe und Dcdiag.exe, können auch unter Windows XP Professional, Windows XP Professional SP1 und Windows XP Professional Service Pack 2 (SP2) ausgeführt werden. Optionen für die Installation der SP1-Windows Support ToolsSie können die SP1-Version der Windows Support Tools als .msi-Paket nur unter Windows Server 2003 SP1 installieren. Um Repadmin und Dcdiag auf Computern unter Windows Server 2003 ohne SP1 oder unter Windows XP Professional auszuführen, müssen Sie diese erst auf diese Computer kopieren. Anforderungen | • | Administrative Berechtigungen: Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Administratoren sein. | | • | Betriebssystem: Windows Server 2003 mit SP1. Die SP1-Version der Windows Support Tools können unter Windows Server 2003 ohne SP1 nicht installiert werden. |
Installation der Windows Support Tools 1. | Legen Sie die Windows-CD ein. | 2. | Wenn Sie zur Installation von Windows aufgefordert werden, klicken Sie auf Nein. | 3. | Klicken Sie auf Zusätzliche Aufgaben ausführen, und klicken Sie dann auf Diese CD durchsuchen. | 4. | Wechseln Sie zum Ordner \Support\Tools. | 5. | Klicken Sie doppelt auf suptools.msi. | 6. | Folgen Sie den angezeigten Anweisungen. |
Installation des NetzwerkmonitorsMit dem Netzwerkmonitor können Sie Konnektivitätsprobleme ermitteln. Weitere Informationen finden Sie unter http://go.microsoft.com/fwlink/?LinkId=42987. Definieren der ProtokollierungslevelsWenn die im Verzeichnisdienstprotokoll in der Ereignisanzeige angezeigten Informationen für eine Fehlersuche nicht ausreichen, können Sie die Protokollierungslevel über den Registrierungsschlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics erhöhen. Standardmäßig sind alle Einträge mit 0 konfiguriert - was den minimal möglichen Informationen entspricht. Sie können die Level bis auf 5 heraufsetzen. Das Heraufsetzen führt dazu, dass zusätzliche Ereignisse protokolliert werden. Verzeichnisdienst-Diagnoseprotokollierung Mit dem folgenden Verfahren können Sie die Einträge ändern. Vorsicht Der Registrierungseditor umgeht die normalen Sicherheitsfunktionen. Sie können so Einstellungen vornehmen, die das System beschädigen können oder sogar dafür sorgen können, dass Windows neu installiert werden muss. Wenn möglich, verwenden Sie statt des Registrierungseditors Gruppenrichtlinien oder andere Windows-Tools, um die Einstellungen zu konfigurieren und Aufgaben durchzuführen. Anforderungen | • | Administrative Berechtigungen: Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins in der Domäne des Domänencontrollers sein, auf dem Sie das Protokollierungslevel ändern möchten. | | • | Tools: Regedit.exe |
Definieren der Protokollierungslevels 1. | Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und klicken Sie dann auf OK. | 2. | Navigieren Sie zum Schlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics. | 3. | Klicken Sie doppelt auf den Eintrag und auf Dezimal. | 4. | Geben Sie einen Wert zwischen 0 und 5 ein, und klicken Sie dann auf OK. |
Fehlersuche bei Active Directory-ReplikationsproblemenActive Directory-Replikationsprobleme können verschiedenste Ursachen haben - zum Beispiel DNS-Probleme, Netzwerkprobleme oder Sicherheitseinstellungen. Fehler der eingehenden und ausgehenden Replikation können dazu führen, dass Active Directory-Objekte inkonsistent werden. Dies führt entweder zu Fehlern im Betrieb von Active Directory oder zu inkonsistenten Ergebnissen. Empfehlungen aus EreignissenIdealerweise geben Fehler und Warnungen aus dem Ereignisprotokoll den Grund an, der zu einem Replikationsfehler geführt hat. Wenn im Ereignis Schritte als Lösung vorgeschlagen werden, sollten Sie die Schritte ausführen. Auch Repadmin und andere Tools stellen Informationen zur Verfügung, die zur Lösung von Fehlern genutzt werden können. Ausschließen des offensichtlichenManchmal treten Replikationsfehler durch gewollte Aktionen auf. Diese Fehlerquellen sollten Sie als erstes ausschließen. Richtige Reaktion für Domänencontroller unter Windows 2000 Server, die zu lange inaktiv warenWenn ein Domänencontroller unter Windows 2000 Server länger als die Tombstone-Lebensdauer inaktiv war, sollten Sie die folgenden Schritte ausführen: 1. | Verschieben Sie den Server aus dem Unternehmensnetzwerk in ein privates Netzwerk. | 2. | Erzwingen Sie die Entfernung von Active Directory, oder installieren Sie das Betriebssystem neu. | 3. | Entfernen Sie die Server-Metadaten aus Active Directory. |
Anmerkung Gelöschte NTDS-Settings-Objekte werden normalerweise nach 14 Tagen automatisch neu erstellt. Wenn Sie die Server-Metadaten nicht entfernen, sind diese daher nach 14 Tagen wieder im Verzeichnis vorhanden - was logischerweise zu Fehlern führen kann FehlerursachenWenn Sie offensichtliche Fehler ausgeschlossen haben, kommen nur noch die folgenden Fehlerursachen in Frage: | • | Netzwerkkonnektivität | | • | Namensauflösung | | • | Authentifizierung und Autorisierung | | • | Datenbankspeicher (Transaktionen werden möglicherweise nicht schnell genug ausgeführt und führen zu Timeouts). | | • | Replikationsengine (möglicherweise können nicht alle anstehenden Replikationen während eines standortübergreifenden Replikationsfensters ausgeführt werden). | | • | Replikationstopologie |
Grundsätzliche Vorgehensweise zur Behebung von Problemen1. | Überwachen Sie täglich das korrekte Funktionieren der Replikation, oder fragen sie den Replikationsstatus täglich mit Repadmin.exe ab. | 2. | Versuchen Sie, alle Fehler zeitnah zu beheben. | 3. | Wenn Sie das Problem nicht beheben können, entfernen Sie den Domänencontroller. Weitere Informationen hierzu finden Sie unter Kapitel 9 - Dekomissionierung eines Domänencontrollers". | 4. | Wenn Active Directory nicht normal entfernt werden kann, nutzen Sie eines der folgenden Verfahren: | • | Erzwingen Sie das Entfernen von Active Directory im Verzeichnisdienstwiederherstellungsmodus, bereinigen Sie die Metadaten, und installieren Sie Active Directory neu. | | • | Installieren Sie das Betriebssystem neu, und richten Sie den Domänencontroller neu ein. |
|
Weitere Informationen zum Entfernen von Active Directory finden Sie unter Kapitel 9 - Das Entfernen eines Domänencontrollers erzwingen". Überwachung der funktionierenden ReplikationMit den folgenden Verfahren können Sie das Funktionieren der Replikation überwachen: | • | Nutzen Sie eine Überwachungsanwendung, mit der bestimmte Fehler und Ereignisse überwacht werden können. | | • | Nutzen Sie Repadmin. |
Verwenden einer ÜberwachungsanwendungSie können Microsoft Operations Manager (MOM) oder eine andere entsprechende Anwendung nutzen. Weitere Informationen zu MOM finden Sie unter http://go.microsoft.com/fwlink/?LinkId=41369. Abfragen des Replikationsstatus mit RepadminWen die Replikation korrekt funktioniert, können Sie sichergehen, dass alle Domänencontroller online sind. Außerdem wissen Sie in diesem Fall, dass die folgenden Systeme und Dienste korrekt arbeiten: | • | DNS-Infrastruktur | | • | Kerberos | | • | Windows Time Service (W32time) | | • | Remote Procedure Call (RPC) | | • | Netzwerkkonnektivität |
Mit Repadmin können Sie eine .csv-Datei erstellen, in der Replikationsfehler eingetragen werden. Mit den folgenden Verfahren fragen Sie den Replikationsstatus aller Domänencontroller in der Gesamtstruktur ab: Anforderungen | • | Administrative Berechtigungen: Um dieses Verfahren abschließen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins in der Stammdomäne oder der Gruppe Organisations-Admins der Gesamtstruktur sein. | | • | Tools:
Repadmin.exe (Windows Support Tools)
Excel (Microsoft Office) |
Abfrage des Replikationsstatus 1. | Öffnen Sie eine Eingabeaufforderung, geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:
repadmin /showrepl * /csv >showrepl.csv | 2. | Klicken Sie in Excel auf Datei und auf Öffnen. | 3. | Klicken Sie auf Testdatei (*.prn;*.txt;*.csv). | 4. | Navigieren Sie zur Datei showrepl.csv, und klicken Sie dann auf Öffnen. | 5. | Klicken Sie mit rechts auf die Spalte mit dem Namen showrepl_COLUMNS (Spalte A), und klicken Sie dann auf Verstecken. Wiederholen Sie die für die Spalte Transport Type. | 6. | Klicken Sie auf die Zeile unter den Überschriften, und klicken Sie dann im Menü Fenster auf Fixieren. | 7. | Klicken Sie auf die linke obere Ecke der Tabelle, um die ganze Tabelle zu markieren. Klicken Sie im Menü Daten auf Filter und klicken Sie dann auf AutoFilter. | 8. | Sortieren Sie die Spalte Last Success aufsteigend. | 9. | Sortieren Sie Spalte Source DC benutzerdefiniert. Legen Sie den folgenden Filter fest: | • | Source DC = enthält nicht. | | • | del für alle gelöschten Domänencontroller. |
| 10. | Sortieren Sie die Spalte Last Failure benutzerdefiniert: | • | Last Failure = entspricht nicht | | • | 0 für alle Domänencontroller mit Fehlern |
|
Mit der Option Autofilter lassen Sie so jeweils nur bestimmte Domänencontroller anzeigen (fehlerfrei, Fehler, etc.). Beheben von ProblemenReplikationsfehler werden über Ereignisse und Fehlermeldungen angezeigt. Die meisten Probleme werden in den Ereignissen oder in den Ausgaben von repadmin /showrepl genauer definiert. repadmin /showrepl-Fehlermeldungen die Replikationsprobleme anzeigenIn der folgenden Tabelle finden Sie die von repadmin /showrepl ausgegebenen Fehlermeldungen und den Grund sowie eine Lösung für die entsprechenden Fehler. repadmin /showrepl-Fehler
The time since last replication with this server has exceeded the tombstone lifetime. | Ein Domänencontroller hat zu lange nicht eine eingehende Replikation mit dem Quelldomänencontroller durchgeführt, als dass eine korrekte Löschung mithilfe von Tombstones durchgeführt werden könnte. | Ereigniss-ID 2042: Zeitraum seit der letzten Replikation zu lang |
No inbound neighbors. | Wenn unter “Inbound Neighbors” nichts angezeigt wird, hat der Domänencontroller keine Replikationsverbindungen mit anderen Domänencontrollern. | Beheben von Konntektivitätsproblemen (Ereignis-ID 1925) |
Access is denied. | Es gibt eine Replikationsverbindung, aber die kann aufgrund von Authentifizierungsfehlern nicht durchgeführt werden. | "Beheben von Sicherheitsproblemen im Zusammenhang mit der Replikation" |
Last attempt at <date - time> failed with the “Target account name is incorrect.” | Dieses Problem kann durch eine fehlende Konnektivität oder durch DNS- oder Authentifizierungsfehler entstehen. Bei einem DNS-Fehler könnte der Domänencontroller den GUID-basierten DNS-Namen des Partners nicht auflösen. | "Beheben von DNS-Lookup-Problemen (Ereignis-IDs 1925, 2087, 2088)"
"Beheben von Sicherheitsproblemen im Zusammenhang mit der Replikation"
"Beheben von Konnektivitätsproblemen (Ereignis-ID 1925)" |
LDAP Error 49. | Das Konto des Domänencontrollers ist möglicherweise nicht mit dem KDC synchronisiert (Key Distribution Center). | "Beheben von Sicherheitsproblemen im Zusammenhang mit der Replikation" |
Cannot open LDAP connection to local host | Konnte Active Directory nicht kontaktieren. | "Beheben von DNS-Lookup-Problemen (Ereignis-IDs 1925, 2087, 2088)" |
Active Directory replication has been preempted. | Eingehende Replikation wurde wegen einer Anfrage mit höherer Priorität abgebrochen. (Beispielsweise durch eine Anfrage aufgrund von repadmin /sync). | Auf die Replikation warten. Diese Meldung ist normal. |
Replication posted, waiting. | Der Domänencontroller wartet auf eine Antwort auf eine Replikationsanfrage. | Auf die Replikation warten. Diese Meldung ist normal. |
Ereignisse, die auf Active Directory-Replikationsprobleme hinweisenIn der folgenden Tabelle finden Sie Ereignisse, die auf Probleme mit der Active Directory-Replikation hinweisen können. Ereignisse, die auf Active Directory-Replikationsprobleme hinweisen
1311 - NTDS KCC | Replikationskonfiguration entspricht nicht der Netzwerktopologie. | "Beheben von Problemen mit der Replikationstopologie (Ereignis-ID1311)" |
1388 - NTDS Replikation | Strikte Replikationskonsistenz ist nicht in Kraft, und es wurde ein veraltetes Objekt repliziert. | "Beheben von Fehlern im Zusammenhang mit zurückgebliebenen Objekten (Ereignis-ID 1388, 1988 und 2042)" |
1925 - NTDS KCC | Versuch, eine Replikationsverbindung für eine beschreibbare Partition aufzubauen, fehlgeschlagen. Kann verschiedene Ursachen haben. | "Beheben von Konnektivitätsproblemen (Ereignis-ID 1925)"
"Beheben von DNS-Lookup-Problemen (Ereignis-IDs 1925, 2087, 2088)" |
1988 - NTDS Replikation | Domänencontroller versuchte, ein Objekt vom Quell-Domänencontroller zu replizieren, das es durch eine Löschung mit Garbage Collection hier nicht mehr gibt. Keine weitere Replikation mit diesem Partner, bevor das Problem nicht behoben ist. | "Beheben von Fehlern im Zusammenhang mit zurückgebliebenen Objekten (Ereignis-ID 1388, 1988 und 2042)" |
2042 - NTDS Replikation | Keine Replikation mit dem Partner für den Zeitraum der Tombstone-Lebensdauer. Replikation kann nicht fortgeführt werden. | "Beheben von Fehlern im Zusammenhang mit zurückgebliebenen Objekten (Ereignis-ID 1388, 1988 und 2042)" |
2087 - NTDS Replikation | Active Directory kann den DNS-Hostnamen des Quelldomänencontrollers nicht auflösen. Replikation fehlgeschlagen. | "Beheben von DNS-Lookup-Problemen (Ereignis-IDs 1925, 2087, 2088)" |
2088 - NTDS Replikation | Active Directory kann den DNS-Hostnamen des Quelldomänencontrollers nicht auflösen. Replikation erfolgreich. | "Beheben von DNS-Lookup-Problemen (Ereignis-IDs 1925, 2087, 2088)" |
2095 - NTDS Replikation | USN-Rollback und Replikation angehalten. Zeigt eine fehlerhafte Active Directory-Wiederherstellung an. Möglicherweise über eine .vhd-Datei. | Eine genaue Erklärung dieses Problems und mögliche Lösungen finden Sie unter Running Domain Controllers in Virtual Server 2005 unter http://go.microsoft.com/fwlink/?LinkId=38330). |
5805 - NetLogon | Computerkonto konnte nicht authentifiziert werden. Normalerweise ein Hinweise auf mehrfache Computernamen oder einer unvollständige Replikation auf den Domänencontrollern. | "Beheben von Sicherheitsproblemen im Zusammenhang mit der Replikation" |
Weitere Informationen zu Replikationskonzepten finden Sie unter http://go.microsoft.com/fwlink/?LinkId=41950. Im folgenden Abschnitt finden Sie diese Informationen: Beheben von Fehlern im Zusammenhang mit zurückgebliebenen Objekten (Ereignis-ID 1388, 1988 und 2042)" Beheben von Sicherheitsproblemen im Zusammenhang mit der Replikation" Beheben von DNS-Lookup-Problemen (Ereignis-IDs 1925, 2087, 2088)" Beheben von Konnektivitätsproblemen (Ereignis-ID 1925)" Beheben von Problemen mit der Replikationstopologie (Ereignis-ID1311)" Beheben von Fehlern im Zusammenhang mit zurückgebliebenen Objekten (Ereignis-ID 1388, 1988 und 2042)Wenn ein Domänencontroller für einen längeren Zeitraum als der Tombstone-Lebensdauer nicht repliziert hat und dann wieder in die Replikationstopologie integriert wird, verbleiben gelöschte Objekte auf diesem Domänencontroller als veraltete Objekte. Die Tombstone-Lebensdauer und die Replikation von Löschungen Wenn ein Objekt gelöscht wird, repliziert Active Directory das Objekt als Tombstone (dieser besteht aus ein paar Attributen des gelöschten Objektes). Der Tombstone verbleibt in einer Gesamtstruktur standardmäßig 60 Tage. Unter Windows Server 2003 Service Pack 1 (SP1) ändert sich dieser Wert auf 180 Tage - jedoch nur bei Gesamtstrukturen, die direkt über Domänencontroller erstellt wurden, die unter Windows Server 2003 SP1 ausgeführt werden. Nach dem Ablauf der Lebensdauer wird der Tombstone dauerhaft entfernt. Sollte ein Domänencontroller länger als die Lebensdauer nicht mit dem Netzwerk verbunden sein, erfährt er somit nichts vom Löschen eines Objektes und das Objekt bleibt auf dem Domänencontroller als veraltetes Objekt bestehen. Anmerkung Die Tombstone-Lebensdauer wird bei einer Aktualisierung auf Windows Server 2003 SP1 nicht verändert. Sie müssen dies manuell erledigen. Entstehung von veralteten Objekten Sollte ein gelöschtes Objekt wie oben beschrieben auf einem längerfristig von Netzwerk getrennten Domänencontroller zurückgeblieben sein, kann es passieren, dass dieses Objekt wieder auf alle Domänencontroller der Domäne repliziert wird. Dies passiert dann, wenn das Objekt auf dem veralteten Domänencontroller bearbeitet wird. In diesem Fall repliziert Active Directory die Änderung am entsprechenden Objekt an einen Domänencontroller, auf dem das Objekt aufgrund der Löschung nicht mehr vorhanden ist. In solchen Situationen kann der Ziel-Domänencontroller der Replikation auf zwei Arten reagieren: | • | Wenn der Domänencontroller mit aktivierter strikter Replikationskonsistenz arbeitet, erkennt er, dass er ein Objekt nicht aktualisieren kann und stoppt die eingehende Replikation der Partition vom Quell-Domänencontroller. | | • | Wenn die strikte Replikationskonsistenz nicht aktiviert ist, fordert er eine komplette Replik des betreffenden Objektes an und schreibt dieses in sein Verzeichnis. |
Gründe für längerfristig vom Netzwerk getrennte Domänencontroller | • | Ein Domänencontroller wird irgendwo abgestellt und vergessen, oder die Auslieferung eines Domänencontrollers an einen Remotestandort dauert länger als erwartet. | | • | Die Replikation schlägt fehl, und es gibt keine Überwachung. Replikationsfehler können durch die folgenden Ursachen entstehen: | • | Es kommt durch die zugrunde liegende Netzwerkkonnektivität zu Fehlern bei der eingehenden Replikation. | | • | Ein Bridgeheadserver ist überlastet, und die Replikation kann nicht vollständig ausgeführt werden. Zum Beispiel bei globalen Katalog Servern und zu kleinen Zeitfenstern. |
Anmerkung
Globale Katalog Server replizieren nur lesbare Versionen aller Domänenpartitionen der Gesamtstruktur. Die Replikation dieser Partitionen hat eine geringere Priorität als die von beschreibbaren Partitionen. Zusätzlich sind globale Katalog Server oftmals Bridgeheadserver. Somit ist ihre Auslastung oft besonders hoch, und es kann vorkommen, dass die nur lesbaren Partitionen nicht mehr innerhalb eines Zeitfensters repliziert werden können. So kann es zu veralteten Objekten auf dem Server kommen. | | • | WAN-Verbindungen stehen für längere Zeiträume nicht zur Verfügung. | | • | Ein Administrator hat die Tombstone-Lebensdauer verkürzt, um eine Löschung der Tombstones zu erzwingen (Garbage Collection). | | • | Die Systemuhr auf einem der Domänencontroller geht falsch. Solche Situationen entstehen oft nach einem Neustart des Systems und können die folgenden Ursachen haben: | • | Probleme mit der Batterie der Systemuhr oder des Mainboards. | | • | Der Zeitgeber ist nicht korrekt konfiguriert. | | • | Die Systemuhr wurde von einem Administrator umgestellt, damit dieser eine Systemsicherung wiederherstellen kann oder um einen Garbage Collection-Vorgang zu erzwingen. |
|
Feststellen, ob ein Domänencontroller über veraltete Objekte verfügt Es kann sein, dass veraltete Objekte vorhanden sind und dies nicht bemerkt wird - und zwar so lange, bis ein Administrator, ein Dienst oder eine Anwendung versucht, das veraltete Objekt zu bearbeiten oder ein neues Objekte mit dem gleichen UPN erstellt. Symptome, die auf veraltete Objekte hinweisen | • | Ein gelöschtes Benutzer- oder Gruppekonto verbleibt in der globalen Adressliste von Exchange. Das Versenden von Emails an dieses Konto führt jedoch zu Fehlern. | | • | Es werden mehrere Kopieren eines Objektes angezeigt, das eigentlich einzigartig sein sollte. Wenn beispielsweise die relativen DNs von zwei Objekten nicht aufgelöst werden können, wird der Text “*CNF:GUID” an deren Namen angehängt (CNF ist eine Konstante, die auf einen Konflikt in der Namensauflösung hinweist, und GUID ist der Wert aus dem Attribut objectGUID des Objektes). | | • | Emails werden nicht an den scheinbar aktuellen Benutzer zugestellt. | | • | Eine nicht mehr bestehende universelle Gruppe wird weiter im Zugriffstoken eines Benutzers angezeigt. Es kann sein, dass der Benutzer sogar weiterhin über Zugriffsmöglichkeiten verfügt, die er nicht mehr haben sollte. | | • | Ein neues Objekt oder ein Exchange-Postfach können nicht erstellt werden. Es gibt jedoch noch kein entsprechendes Objekt in Active Directory. Sie erhalten trotzdem eine Fehlermeldung, die besagt, dass das Objekt bereits besteht. | | • | Suchen, die Attribute eines bestehenden Objektes verwenden, geben fälschlicherweise mehrere Objekte mit dem gleichen Namen zurück. |
Wenn versucht wird, ein veraltetes Objekt zu bearbeiten, werden auf dem Ziel-Domänencontroller Ereignisse protokolliert. Sollte es das Objekt jedoch nur in einer Partition eines globalen Katalogs geben (nur lesbar), kann dies natürlich nicht aktualisiert werden - somit werden auch keine Ereignisse ausgelöst. Registrierungseinstellungen, mit denen festgelegt wird, ob veraltete Objekte repliziert werden Der Registrierungseintrag strict replication consistency unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters steuert das Verhalten bei veralteten Objekten: Der Eintrag kann die folgenden Werte haben: | • | 1 (aktiviert): Die eingehende Replikation der entsprechenden Verzeichnispartition von dieser Quelle aus wird angehalten. | | • | 0 (deaktiviert): Der Ziel-Domänencontroller fordert das vollständige Objekt vom Quell-Domänencontroller an und erstellt eine vollständige Kopie. Das gelöschte Objekt ist somit in der Domäne wieder vorhanden. |
Weitere Informationen zu diesem Thema finden Sie unter "Beheben von Fehlern im Zusammenhang mit zurückgebliebenen Objekten (Ereignis-ID 1388, 1988 und 2042)". Standardeinstellung für die strikte Replikationskonsistenz Die Standardeinstellung von strict replication consistency hängt davon ab, unter welchem Betriebssystem die Gesamtstruktur errichtet wurde. Anmerkung Das Anheben der Funktionsebene der Gesamtstruktur ändert nichts an dieser Einstellung. Aktiviert | • | Die Stammdomäne einer neuen Gesamtstruktur wurde durch die Aktualisierung eines Windows NT 4.0-PDCs auf Windows Server 2003 mit der Windows Server 2003-Version von Winnt32.exe erstellt. | | • | Die Stammdomäne einer neuen Gesamtstruktur wurde durch die Installation von Active Directory auf einem Server unter Windows Server 2003 erstellt. |
Deaktiviert | • | Ein Domänencontroller unter Windows 2000 Server wurde auf Windows Server 2003 aktualisiert. | | • | Ein Server unter Windows 2000 Server wird in eine Windows Server 2003-Gesamtstruktur verschoben. |
Unter Windows Server 2003 mit SP1 brauchen Sie die Registrierung nicht bearbeiten. Stattdessen können Sie Repadmin nutzen. Weitere Informationen hierzu finden Sie unter "Ereignis-ID 1388 oder 1988: Veraltete Objekte gefunden". Weitere Informationen zur strikten Replikationskonsistenz finden Sie unter http://go.microsoft.com/fwlink/?LinkId=27636. Tool für das Entfernen von veralteten Objekten Unter Windows Server 2003 oder Windows Server 2003 mit SP1 können Sie Repadmin.exe (aus den Windows Support Tools) zur Entfernung von veralten Objekten verwenden. Die Windows Server 2003-Version von Repadmin stellt die Option /removelingeringobjects zur Verfügung, mit der alle veralteten Objekte sicher aus nur lesbaren und beschreibbaren Partitionen entfernt werden können. Der Befehl repadmin /removelingeringobjects geht folgendermaßen vor: 1. | Er vergleicht die Objekte auf einem Referenz-Domänencontroller mit den Objekten auf dem Ziel-Domänencontroller (der Domänencontroller, auf dem möglicherweise veraltete Objekte vorhanden sind). | 2. | Er entfernt die Objekte oder protokolliert sie: | • | Mit /advisory_mode werden die Objekte nur im Verzeichnisprotokoll protokolliert. | | • | Mit /advisory_mode werden die Objekte gelöscht (nur auf dem Ziel-Domänencontroller). |
|
Gehen Sie nach den Schritten aus dem Eintrag der folgenden Liste vor, der Ihr Problem am besten beschreibt: | • | "Ereignis-ID 1388 oder 1988: Veraltete Objekte gefunden" | | • | "Ein gelöschtes Konto verbleibt im Adressbuch, Emails werden nicht empfangen, oder es bestehen doppelte Konten" | | • | "Ereignis-ID 2042: Zeitraum seit der letzten Replikation zu lang" |
Siehe auch Konfiguration eines Computers für die Active Directory-Fehlersuche" Ereignis-ID 1388 oder 1988: Veraltete Objekte gefundenWenn die Ereignisse 1388 oder 1988 auf einem Domänencontroller auftreten, wurden veraltete Objekte gefunden: | • | 1388: Auf dem Ziel-Domänencontroller ist eine eingehende Replikation eines veralteten Objekts aufgetreten. | | • | 1988: Die eingehende Replikation einer Verzeichnispartition mit veralteten Objekten wurde auf dem Ziel-Domänencontroller blockiert. |
Ereignis-ID 1388Bei diesem Ereignis hat ein Domänencontroller ohne strikte Replikationskonsistenz eine Anfrage für die Aktualisierung eines lokal nicht vorhandenen Objektes erhalten. Daher hat er das vollständige Objekt vom entsprechenden Replikationspartner angefordert. Das Objekt wurde somit repliziert und auf dem Ziel-Domänencontroller neu erstellt. Wichtig Wenn einer der beiden Replikationspartner unter Windows 2000 Server ausgeführt wird, können Sie die veralteten Objekte nicht mit Repadmin entfernen. Weitere Informationen zu dieser Situation finden Sie unter http://go.microsoft.com/fwlink/?LinkId=41410. Beispielanzeige für das Ereignis: Ereignistyp:Fehler
Ereignisquelle:NTDS Replication
Ereigniskategorie:Replication
Ereignis-ID:1388
Datum:2/21/2005
Uhrzeit:9:19:48 AM
Benutzer:NT AUTHORITY\ANONYMOUS LOGON
Computer:DC3
Beschreibung:
Another domain controller (DC) has attempted to replicate into this DC an
object which is not present in the local Active Directory database. The
object may have been deleted and already garbage collected (a tombstone
lifetime or more has past since the object was deleted) on this DC. The
attribute set included in the update request is not sufficient to create
the object. The object will be re-requested with a full attribute set
and re-created on this DC.
Source DC (Transport-specific network address):
4a8717eb-8e58-456c-995a-c92e4add7e8e._msdcs.contoso.com
Object:
CN=InternalApps,CN=Users,DC=contoso,DC=com
Object GUID:
a21aa6d9-7e8a-4a8f-bebf-c3e38d0b733a
Directory partition:
DC=contoso,DC=com
Destination highest property USN:
20510
User Action:
Verify the continued desire for the existence of this object. To
discontinue re-creation of future similar objects, the following
registry key should be created.
Registry Key:
HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Strict Replication Consistency Ereignis-ID 1988Bei diesem Ereignis hat ein Domänencontroller mit strikter Replikationskonsistenz eine Anfrage für die Aktualisierung eines lokal nicht vorhandenen Objektes erhalten. Er hat die Replikation der Verzeichnispartition, in der sich das Objekt befindet, blockiert. Beispielanzeige für das Ereignis: Ereignistyp:Fehler
Ereignisquelle:NTDS Replication
Ereigniskategorie:Replication
Ereignis-ID:1988
Datum:2/21/2005
Uhrzeit:9:13:44 AM
Benutzer:NT AUTHORITY\ANONYMOUS LOGON
Computer:DC3
Beschreibung:
Active Directory Replication encountered the existence of objects
in the following partition that have been deleted from the local
domain controllers (DCs) Active Directory database. Not all direct
or transitive replication partners replicated in the deletion
before the tombstone lifetime number of days passed. Objects that
have been deleted and garbage collected from an Active Directory
partition but still exist in the writable partitions of other DCs
in the same domain, or read-only partitions of global catalog servers
in other domains in the forest are known as “lingering objects”.
This event is being logged because the source DC contains a lingering
object which does not exist on the local DCs Active Directory database.
This replication attempt has been blocked.
The best solution to this problem is to identify and remove all
lingering objects in the forest.
Source DC (Transport-specific network address):
4a8717eb-8e58-456c-995a-c92e4add7e8e._msdcs.contoso.com
Object:
CN=InternalApps,CN=Users,DC=contoso,DC=com
Object GUID:
a21aa6d9-7e8a-4a8f-bebf-c3e38d0b733a UrsacheWenn ein Objekt gelöscht wird, repliziert Active Directory das Objekt als Tombstone (dieser besteht aus ein paar Attributen des gelöschten Objektes).
Der Tombstone verbleibt in einer Gesamtstruktur standardmäßig 60 Tage. Unter Windows Server 2003 Service Pack 1 (SP1) ändert sich dieser Wert auf 180
Tage - jedoch nur bei Gesamtstrukturen, die direkt über Domänencontroller erstellt wurden, die unter Windows Server 2003 SP1 ausgeführt werden. Nach dem Ablauf der Lebensdauer wird der Tombstone dauerhaft entfernt. Sollte ein Domänencontroller länger als die Lebensdauer nicht mit dem
Netzwerk verbunden sein, erfährt er somit nichts vom Löschen eines Objektes und das Objekt bleibt auf dem Domänencontroller als veraltetes Objekt
bestehen. LösungSie können das veraltete Objekt aus dem Verzeichnis entfernen. Stellen Sie fest, auf welchem Domänencontroller sich das Objekt befindet, und führen Sie das Tool repadmin aus (repadmin /removelingeringobjects). Gehen Sie folgendermaßen vor: 1. | Ermitteln Sie die folgenden Daten über den Ereignistext: | • | Verzeichnispartition des Objekts. | | • | Quell-Domänencontroller, der versucht hat, das Objekte zu replizieren. |
| 2. | Installieren Sie die Windows Support Tools auf dem Domänencontroller,
auf dem das Ereignis aufgetreten ist. Weitere Informationen finden Sie unter "Konfiguration eines Computers für die
Active Directory-Fehlersuche". | 3. | Ermitteln der GUID eines autorisierenden Domänencontrollers
mit Repadmin | 4. | Kapitel 9 - Entfernen von
veralteten Objekten mit Repadmin" | 5. | Kapitel 9 -
Aktivieren der strikten Replikationskonsistenz" (wenn notwendig). |
Ermitteln der GUID eines autorisierenden Domänencontrollers mit RepadminFür dieses Verfahren benötigen Sie die GUID eines aktuellen Domänencontrollers, der über eine beschreibbare Kopie der entsprechenden Partition verfügt. Die GUID ist im objectGUID-Attribut des NTDS-Settings-Objekts gespeichert. Anforderungen | • | Administrative Berechtigungen: Sie müssen Mitglied der Gruppe Domänen-Admins der Domäne des Domänencontrollers ServerName sein. | | • | Tool: Repadmin.exe (Windows Support Tools) |
Ermitteln der GUID eines Domänencontrollers 1. | Öffnen Sie eine Eingabeaufforderung. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:
repadmin /showrepl ServerName
wobei ServerName der Name des Domänencontrollers ist, dessen GUID Sie suchen. | 2. | Im ersten Abschnitt der Ausgabe suchen Sie nach dem Eintrag objectGuid. |
Entfernen von veralteten Objekten mit RepadminWenn Ziel- und Quell-Domänencontroller unter Windows Server 2003 ausgeführt wird, können Sie Repadmin nutzen. Sollte einer der Domänencontroller unter Windows 2000 Server ausgeführt werden, gehen Sie nach den Informationen aus dem Artikel unter http://go.microsoft.com/fwlink/?LinkId=41410 vor. Anforderungen Betriebssystem: Windows Server 2003 auf beiden Servern. Administrative Berechtigungen: Sie müssen Mitglied der Gruppe Domänen-Admins in der Domäne aus der die Partition stammt. Tool: Repadmin.exe (Windows Support Tools) "Entfernen von veralteten Objekten mit Repadmin" 1. | Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: repadmin /removelingeringobjects ServerName ServerGUID Verzeichnispartition/advisory_mode ServerName | DNS-Name oder DN des Domänencontrollers mit den veralteten Objekten. | ServerGUID | GUID eines Domänencontrollers, der über eine aktuelle beschreibbare Kopie der Verzeichnispartition verfügt. | Verzeichnispartition | DN der Domänen-Verzeichnispartition mit veralteten Objekten. Beispiel, DC=RegionalDomänenname,DC=Stammdomäne,DC=com. Führen Sie den Befehl ebenfalls gegen die Konfigurationspartition (CN=configuration,DC=Stammdomäne,DC=com) und die Schemapartition (CN=schema,CN=configuration,DC=Stammdomäne) aus. |
/advisory_mode protokolliert die entfernten Objekte, aber entfernt sie nicht. | 2. | Wenn Objekte gefunden werden, wiederholen Sie Schritt 1 ohne /advisory_mode und löschen Sie die Objekte. | 3. | Wiederholen Sie die Schritte 1 und 2 für jeden Domänencontroller, der möglicherweise veraltete Objekte hat. |
Anmerkung Der Parameter ServerName verwendet die DC_LIST-Syntax für repadmin. Sie können somit * für alle Domänencontroller in der Gesamtstruktur und gc: für alle globalen Katalog Server angeben. Aktivieren der strikten ReplikationskonsistenzUnter Windows Server 2003 Service Pack 1 (SP1) müssen Sie den Wert nicht direkt bearbeiten. Sie können stattdessen das Tool Repadmin verwenden. Dies ist jedoch nur mit der Repadmin-Version aus den Support Tools von Windows Server 2003 SP1 möglich und kann nur auf Domänencontrollern unter Windows Server 2003 SP1 ausgeführt werden. Ein gelöschtes Konto verbleibt im Adressbuch, Emails werden nicht empfangen, oder es bestehen doppelte KontenSollten diese Symptome auftreten und kein Fehlerereignis angezeigt werden, über das Sie das veraltete Objekt und die entsprechende Partition ermitteln können, müssen Sie im globalen Katalog nach diesen Informationen suchen. LösungJe nach den Symptomen haben Sie wahrscheinlich schon eine Theorie dazu, welches Objekt die Probleme verursacht. Sie können das Problem mit den folgenden Schritten beheben: | • | Identifizieren Sie das Objekt über den globalen Katalog. | | • | Ermitteln Sie die Partition des Objekts. | | • | Entfernen Sie die veralteten Objekte auf allen globalen Katalog Servern der Gesamtstruktur aus der Verzeichnispartition. |
Ermitteln des doppelten (veralteten) ObjektsMit dem folgenden Verfahren können Sie das doppelte (veraltete) Objekt ermitteln. Verwenden Sie ein Attribut, welches das Objekt eindeutig identifiziert, und suchen Sie im Verzeichnis nach dem Objekt. Anforderungen | • | Administrative Berechtigungen: Um dieses Verfahren durchführen zu können, müssen Sie Mitglied der Gruppe Domänenbenutzer sein. | | • | Tool: Ldp.exe (Windows Support Tools) |
Ermitteln des DNs eines Objekts 1. |
Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie
Ldp ein, und klicken Sie dann auf OK.
| 2. |
Klicken Sie auf Connect.
| 3. |
Geben Sie unter Port den Wert 3268 ein, und klicken Sie dann auf
OK.
| 4. |
Klicken Sie auf Bind.
| 5. |
Geben Sie die Anmeldeinformationen eines Benutzerkontos aus der Gesamtstruktur ein, und klicken Sie dann auf OK
.
| 6. |
Klicken Sie auf Tree.
| 7. |
Geben Sie unter BaseDN den DN der Stammdomäne ein, und klicken Sie dann auf OK
.
| 8. |
Klicken Sie im Konsolenbereich mit rechts auf die Stammdomäne, und klicken Sie dann auf Search.
| 9. |
Geben Sie unter Filter einen Filter in der folgenden Form ein:
(Attribut=Wert)
Wobei Attribut der LAP-Name eines Attributs und Wert der Ihnen bekannte Wert ist. Mit (userPrincipalName=JanD@contoso.com),
(sAMAccountName=JanD) oder (sn=Dryml) finden Sie zum Beispiel das Benutzerobjekt von Jan Dryml. Mit dem Stern (*) als Wert finden Sie alle
Objekte.
| 10. |
Klicken Sie auf Subtree, und klicken Sie dann auf Run.
| 11. |
Klicken Sie auf Close, und prüfen Sie das Ergebnis.
| 12. |
Wenn nötig, wiederholen Sie die Schritte 8 bis 10, bis Sie das Objekt gefunden haben.
|
Ermitteln der Verzeichnispartition eines ObjektsWenn Sie den DN haben, finden Sie die Verzeichnispartition im "DC="-Teil des DNs. Für den DN CN=Jan Dryml,CN=Users,DC=Region1,DC=Contoso,DC=com wäre die Partition also zum Beispiel DC=Region1,DC=Contoso,DC=com. Entfernen des veralteten ObjektsFühren Sie die Schritte unter "Ereignis-ID 1388 oder 1988: Veraltete Objekte gefunden" aus. Ereignis-ID 2042: Zeitraum seit der letzten Replikation zu langWenn ein Objekt gelöscht wird, repliziert Active Directory das Objekt als Tombstone (dieser besteht aus ein paar Attributen des gelöschten Objektes).
Der Tombstone verbleibt in einer Gesamtstruktur standardmäßig 60 Tage. Unter Windows Server 2003 Service Pack 1 (SP1) ändert sich dieser Wert auf
180 Tage - jedoch nur bei Gesamtstrukturen, die direkt über Domänencontroller erstellt wurden, die unter Windows Server 2003 SP1 ausgeführt werden.
Nach dem Ablauf der Lebensdauer wird der Tombstone dauerhaft entfernt. Sollte ein Domänencontroller länger als die Lebensdauer nicht mit
dem Netzwerk verbunden sein, erfährt er somit nichts vom Löschen eines Objektes und das Objekt bleibt auf dem Domänencontroller als veraltetes
Objekt bestehen. Wenn dies passiert und eine Replikation stattfindet, wird Ereignis 2042 im Verzeichnisdienstprotokoll eingetragen. Beispielanzeige für das Ereignis: Ereignistyp:Fehler
Ereignisquelle:NTDS Replication
Ereigniskategorie:Replication
Ereignis-ID:2042
Datum:3/22/2005
Uhrzeit:7:28:49 AM
Benutzer:NT AUTHORITY\ANONYMOUS LOGON
Computer:DC3
Beschreibung:
It has been too long since this machine last replicated with the
named source machine. The time between replications with this source
has exceeded the tombstone lifetime. Replication has been stopped
with this source.
The reason that replication is not allowed to continue is that
the two machine’s views of deleted objects may now be different.
The source machine may still have copies of objects that have
been deleted (and garbage collected) on this machine. If they
were allowed to replicate, the source machine might return
objects which have already been deleted.
Time of last successful replication:
2005-01-21 07:16:03
Invocation ID of source:
0397f6c8-f6b8-0397-0100-000000000000
Name of source:
4a8717eb-8e58-456c-995a-c92e4add7e8e._msdcs.contoso.com
Tombstone lifetime (days):
60
The replication operation has failed.
User Action:
Determine which of the two machines was disconnected from the
forest and is now out of date. You have three options:
1. Demote or reinstall the machine(s) that were disconnected.
2. Use the “repadmin /removelingeringobjects” tool to remove
inconsistent deleted objects and then resume replication.
3. Resume replication. Inconsistent deleted objects may be introduced.
You can continue replication by using the following registry key.
Once the systems replicate once, it is recommended that you remove
the key to reinstate the protection.
Registry Key:
HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Allow Replication With Divergent and Corrupt Partner repadmin /showrepl gibt außerdem Fehler Nummer 8416 aus: Source: Default-First-Site-Name\DC1
******* 1502 CONSECUTIVE FAILURES since 2005-01-21 07:16:00
Last error: 8614 (0x21a6):
The Active Directory cannot replicate with this server
because the time since the last replication with this server has
exceeded the tombstone lifetime. LösungGehen Sie folgendermaßen vor: | • | Führen Sie den Befehl repadmin /showrepl auf dem Domänencontroller aus, auf dem der Fehler aufgetreten ist. | | • | Entfernen Sie die veralteten Objekte. Gehen Sie hierbei nach den Anweisungen aus dem Abschnitt "Ereignis-ID 1388 oder 1988: Veraltete Objekte gefunden" vor. | | • | Starten Sie die Replikation auf dem Ziel-Domänencontroller neu. Hierzu müssen Sie eine Registrierungseinstellung bearbeiten. Wenn Sie nicht auf das Entfernen der veralteten Objekte warten wollen, können Sie die Replikation mit diesem Verfahren auch sofort neu starten. | | • | Setzen Sie die Registrierungseinstellung zurück, um den Domänencontroller wieder vor veralteten Objekten zu schützen. |
Neustart der Replikation nach Ereignis-ID 2042Um die eingehende Replikation auf einem Domänencontroller nach Ereignis-ID 2042 neu zu starten, müssen Sie den Wert Allow Replication With Divergent and Corrupt Partner unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters bearbeiten. Es ist kein Neustart des Domänencontrollers notwendig. Vorsicht Der Registrierungseditor umgeht die normalen Sicherheitsfunktionen. Sie können so Einstellungen vornehmen, die das System beschädigen können oder sogar dafür sorgen können, dass Windows neu installiert werden muss. Wenn möglich, verwenden Sie statt des Registrierungseditors Gruppenrichtlinien oder andere Windows-Tools, um die Einstellungen zu konfigurieren und Aufgaben durchzuführen. Anforderungen | • | Administrative Berechtigungen: Sie müssen Mitglied der Gruppe Domänen-Admins in der Domäne sein, in der sich der Domänencontroller befindet. | | • | Tool: Regedit.exe |
Neustart der Replikation nach Ereignis-ID 2042 1. | Klicken Sie auf Start,
klicken Sie auf Ausführen, geben Sie regedit ein, und
klicken Sie dann auf OK. | 2. | Navigieren Sie zu
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters | 3. | Erstellen oder Bearbeiten Sie den Eintrag: Wenn der Eintrag vorhanden ist: | • | Klicken Sie mit rechts auf Allow Replication With Divergent and Corrupt Partner, und klicken Sie dann auf Bearbeiten. | | • | Geben Sie 1 ein, und klicken Sie dann auf OK. |
Wenn der Eintrag nicht vorhanden ist: | • | Klicken Sie mit rechts auf Parameters, klicken Sie auf Neu, und klicken Sie dann auf DWORD Wert. | | • | Geben Sie als Namen Allow Replication With Divergent and Corrupt Partner ein, und drücken Sie die EINGABETASTE. | | • | Klicken Sie doppelt auf den Eintrag. Geben Sie 1 ein, und klicken Sie dann auf OK. |
|
Zurücksetzen der Registrierungseinstellung für veraltete ObjekteWenn die Replikation wieder vor veralteten Objekten geschützt werden soll, müssen Sie den Registrierungswert Allow Replication With Divergent and Corrupt Partner wieder mit 0 konfigurieren. Beheben von Sicherheitsproblemen im Zusammenhang mit der ReplikationBei Sicherheitsproblemen werden diverse Ereignisse protokolliert. Repadmin-Ausgaben enthalten außerdem Fehlercodes, mit denen das Problem genauer identifiziert werden kann. Die Dcdiag.exe-Version aus den Windows Support Tools von Windows Server 2003 Service Pack 1 (SP1) stellt eine neue Funktionalität zur Verfügung, mit der Sie den Gesamtzustand der Replikation in Bezug auf Active Directory überprüfen können. Dcdiag erkennt die häufigsten Gründe, die zu Fehlern wie “Zugriff verweigert” und “Unbekanntes Konto” führen. In der folgenden Tabelle finden Sie die Fehlercodes von Dcdiag. Die mit einem Stern markierten Fehlercodes müssen nicht zwangsweise auf ein Sicherheitsproblem hinweisen.
5 | Zugriff verweigert |
1314* | Der Client verfügt nicht über eine erforderliche Berechtigung. |
1326 | Anmeldefehler: Unbekannter Benutzername oder falsches Kennwort. |
1396 | Anmeldefehler: Ziel-Kontenname ist falsch. |
1908 | Kann keinen Domänencontroller für diese Domäne finden. |
1397* | Gegenseitige Authentifizierung fehlgeschlagen. Das Serverkennwort ist veraltet. |
1398* | Zeit- und/oder Datumsunterschied zwischen Client und Server. |
1722* | RPC-Server nicht verfügbar. |
2202* | Angegebener Benutzername ungültig. |
8453 | Replikationszugriff verweigert. |
Beheben Sie Sicherheitsprobleme in Bezug auf die Replikation mit den Schritten aus Abschnitt "Ein "Zugriff verweigert"-Fehler oder ein anderer Sicherheitsfehler hat Replikationsprobleme verursacht". Ein "Zugriff verweigert"-Fehler oder ein anderer Sicherheitsfehler hat Replikationsprobleme verursachtSie können entsprechende Replikationsfehler mit Dcdiag.exe aus den Windows Support Tools von Windows Server 2003 Service Pack 1 (SP1) diagnostizieren und beheben. UrsacheEin Domänencontroller kann aufgrund von Sicherheitsproblemen seinen Partner nicht erreichen und daher keine Replikation durchführen. LösungFühren Sie die von Dcdiag aus den Windows Support Tools von Windows Server 2003 SP1 zur Verfügung gestellten Tests aus. Testen eines Domänencontroller auf Sicherheitsfehler bezüglich der ReplikationAnforderungen | • | Administrative Berechtigungen: Sie müssen Mitglied der Gruppe Domänen-Admins der Domäne des Domänencontrollers sein, den Sie testen wollen. Alternativ müssen Sie Mitglied der Gruppe Organisations-Admins sein. | | • | Tool: Dcdiag.exe (Windows Support Tools) von Windows Server 2003 SP1 | | • | Betriebssystem: | • | Sie können die verbesserte Version von Dcdiag zwar auch unter Windows XP Professional und Windows Server 2003 ohne SP ausführen, aber um den Sicherheitstest (/test:CheckSecurityError) durchführen zu können, ist ein Domänencontroller unter Windows Server 2003 mit SP1 erforderlich. | | • | Sie können die Tests gegen Domänencontroller mit den folgenden Betriebssystemen durchführen:
Windows 2000 Server Service Pack 3 (SP3)
Windows 2000 Server Service Pack 4 (SP4)
Windows Server 2003
Windows Server 2003 SP1 |
|
Testen eines Domänencontroller auf Sicherheitsfehler bezüglich der Replikation 1. | Öffnen Sie eine Eingabeaufforderung. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:
dcdiag /test:CheckSecurityError /s:DomänencontrollerName
wobei DomänencontrollerNameis der DNS- oder NetBIOS-Name oder der DN des zu testenden Domänencontrollers ist.
Wenn Sie den Schalter /s: nicht verwenden, wird der Test gegen den lokalen Domänencontroller ausgeführt. Mit /e: testen Sie alle Domänencontroller der Gesamtstruktur. | 2. | Kopieren Sie den Bericht in Notepad. | 3. | Scrollen Sie zur Zusammenfassung am Ende. | 4. | Notieren Sie sich die Namen aller Domänencontroller, bei denen als Status “Warn” oder “Fail” angegeben ist. | 5. | Suchen Sie in den entsprechenden Abschnitt nach der genauen Problembeschreibung. | 6. | Nehmen Sie die notwendigen Änderungen auf den Domänencontrollern vor.
Führen Sie Dcdiag /test:CheckSecurityError mit /e: oder /s: ein weiteres Mal aus. |
Testen der Verbindung zwischen zwei Domänencontrollern bei SicherheitsproblemenIn den folgenden Szenarien ist es sinnvoll, die Verbindung bei Sicherheitsproblemen bezüglich der Replikation zu testen: | • | Es besteht eine Verbindung, aber Sie erhalten einen Sicherheitsfehler. | | • | Der KCC sollte automatisch eine Verbindung erstellen, und Sie möchten feststellen, warum dies nicht passiert. | | • | Sie versuchen, eine Verbindung zu erstellen, erhalten jedoch einen Sicherheitsfehler. | | • | Sie möchten feststellen, ob eine Verbindung erstell werden könnte. |
Anforderungen | • | Administrative Berechtigungen: Sie müssen Mitglied der Gruppe Domänen-Admins in der Domäne sein, in der sich die Domänencontroller befinden, oder Mitglied der Gruppe Organisations-Admins, wenn Sie Verbindung zwischen Domänencontrollern in verschiedenen Domänen testen möchten. | | • | Tool: Dcdiag.exe (Windows Support Tools) von Windows Server 2003 SP1 | | • | Betriebssystem: | • | Sie können die verbesserte Version von Dcdiag zwar auch unter Windows XP Professional und Windows Server 2003 ohne SP ausführen, aber um den Sicherheitstest (/test:CheckSecurityError) durchführen zu können, ist ein Domänencontroller unter Windows Server 2003 mit SP1 erforderlich. | | • | Sie können die Tests gegen Domänencontroller mit den folgenden Betriebssystemen durchführen:
Windows 2000 Server Service Pack 3 (SP3)
Windows 2000 Server Service Pack 4 (SP4)
Windows Server 2003
Windows Server 2003 SP1 |
|
Testen der Verbindung zwischen zwei Domänencontrollern bei Sicherheitsproblemen 1. | Öffnen Sie eine Eingabeaufforderung. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:
dcdiag /test:CheckSecurityError /ReplSource:QuellDomänencontrollerName
wobei QuellDomänencontrollerName der DNS- oder NetBIOS-Name oder DN des Domänencontrollers ist, zu dem Sie die Verbindung testen möchten. | 2. | Kopieren Sie den Bericht in Notepad. | 3. | Scrollen Sie zu Zusammenfassung am Ende. | 4. | Notieren Sie sich die Namen aller Domänencontroller, bei denen als Status “Warn” oder “Fail” angegeben ist. | 5. | Suchen Sie in den entsprechenden Abschnitt nach der genauen Problembeschreibung. | 6. | Nehmen Sie die notwendigen Änderungen auf den Domänencontrollern vor. | 7. | Führen Sie Dcdiag /test:CheckSecurityError /ReplSource:QuellDomänencontrollerName ein weiteres Mal aus. |
Beheben von DNS-Lookup-Problemen (Ereignis-IDs 1925, 2087, 2088)Domänencontroller unter Windows 2000 Server oder Windows Server 2003 können Active Directory nicht replizieren, wenn DNS-Lookups fehlschlagen und somit einen Kontakt mit dem Replikationspartner verhindern. Lookupfehler treten dann auf, wenn ein Domänencontroller den GUID-basierten CNAME-Ressourceneintrag des anderen Domänencontrollers nicht in einer IP-Adresse auflösen kann. Die entsprechenden DNS-Einträge werden in der Zone _msdcs.GesamtstrukturStammdomäne registriert. Die meisten DNS-Fehler treten durch Fehlkonfigurationen der DNS-Clienteinstellungen oder durch Fehlerkonfiguration der DNS-Server auf. Es kann sich außerdem um Netzwerkprobleme und nicht mit dem Netzwerk verbundene Domänencontroller handeln. Verbesserungen der Domänencontroller-Namensauflösung in SP1Domänencontroller unter Windows Server 2003 mit SP1 reagieren robuster auf Fehler der DNS-Namensauflösung. Statt sofort einen Fehler auszulösen, versuchen diese Domänencontroller eine alternative Namensauflösung und halten diese Aktion im Ereignisprotokoll fest. Szenarien für DNS-FehlerAlle Domänencontroller registrieren mehrere SRV-Ressoruceneintrage (Service Location) und Hosteinträge (A) für jede ihrer IP-Adressen. Außerdem einen zusätzlichen Hosteintrag für jede IP-Adresse, wenn es sich um einen globalen Katalog Server handelt. Zusätzlich wird für jeden Domänencontroller ein CNAME-Eintrag registriert. In der folgenden Tabelle finden Sie alle DNS-Ressourceneinträge, die für ein korrektes Funktionieren von Domänencontrollern notwendig sind.
pdc | SRV | _ldap._tcp.pdc._msdcs.DnsDomänenname |
gc | SRV | _ldap_tcp.gc._msdcs.DnsGesamtstrukturStammdomänenname |
GcIpAddress | A | _gc._msdcs.DnsGesamtstrukturStammdomänenname |
DsaCname | CNAME | DsaGuid._msdcs.DnsGesamtstrukturStammdomänenname |
kdc | SRV | _kerberos._tcp.dc._msdcs.DnsDomänenname |
dc | SRV | _ldap._tcp.dc._msdcs.DnsDomänenname |
None | A | DomänencontrollerFQDN |
Der CNAME-Eintrag (DSA_GUID._msdcs.DnsGesamtstrukturStammdomänenname), DSA_GUID ist die GUID aus dem NTDS-Settings-Objekt (auch Directory System Agent - DAS-Objekt genannt) des Domänencontrollers. DnsGesamtstrukturStammdomänenname ist der DNS-Name der Gesamtstruktur, in der sich der Domänencontroller befindet. Ziel-Domänencontroller nutzen den CNAME-Eintrag, um ihren Replikationspartner zu finden. Der NetLogon-Dienst auf dem Domänencontroller registriert beim Start des Betriebssystems alle SRV-Einträge. Außerdem aktualisiert er diese regelmäßig. Der DNS-Clientdienst registriert den A-Eintrag. Mit den folgenden Schritten findet ein Domänencontroller seinen Replikationspartner: 1. | Er fragt seinen DNS-Server nach dem CNAME-Eintrag des Partners. Unter Windows 2000 Server oder Windows Server 2003 ohne SP wird bei einem Fehlerschlag ein Replikationsfehler ausgelöst. | 2. | Unter Windows Server 2003 mit SP1 wird bei einem Fehlerschlag nach dem A-Eintrag des Partners gesucht (Beispiel DC03.corp.contoso.com). | 3. | Wenn dies ebenfalls fehlschlägt, führt der Domänencontroller einen NetBIOS-Broadcast durch und versucht, den Namen des Partners so aufzulösen. |
Wenn die Namensauflösung fehlschlägt, wird ein Eintrag im Verzeichnisprotokoll erstellt. DNS-Ereignisse bei fehlerhaften NamensauflösungenUnter Windows Server 2003 mit SP1 werden die beiden Ereignisse 2087 und 2088 protokolliert: | • | Bei einem Fehlschlag wird Ereignis-ID 2087 protokolliert. | | • | Wenn die Namensauflösung zwar erfolgreich ist, jedoch der erste oder zweite Schritt fehlgeschlagen ist, wird Ereignis-ID 2088 protokolliert. |
Auf Domänencontrollern unter Windows 2000 Server oder Windows Server 2003 ohne SP hat der Domänencontroller bei Ereignis-ID 1925 keinen Replikationspartner gefunden. Unabhängig davon, ob die Replikation erfolgreich oder nicht erfolgreich ist, wird Ereignis-ID 1925, Ereignis-ID 2087 oder Ereignis-ID 2088 protokolliert. Sie sollten auf jeden Fall den Grund für dieses Ereignis ermitteln. DNS-Anforderungen für einen erfolgreichen CNAME-LookupWenn CNAME-Lookup fehlschlägt, bedeutet dies im Allgemeinen, dass der DNS-Client oder der DNS-Server nicht korrekt konfiguriert ist. Das Auflösen eines vollqualifizierten, GUID-basierten CNAME-Eintrags setzt die folgenden DNS-Konfigurationen voraus: 1. | In ihren TCP/IP-Clienteinstellungen müssen beide Domänencontroller so konfiguriert sein, dass Sie DNS-Server verwenden, die Zonenweiterleitungen oder -delegierungen für die folgenden Zonen oder die direkten Zonen hosten. | • | _msdcs.ForestRootDNSDomänenname | | • | Die DNS-Zone, die dem primären DNS-Suffix des Ziel-Domänencontroller entspricht.
Wenn die DNS-Server diese Zonen nicht direkt hosten, müssen Sie für eine Weiterleitung an die entsprechenden DNS-Server konfiguriert sein. |
| 2. | Der Quell-Domänencontroller muss die folgenden Ressourceneinträge registriert haben: | • | GUID-basierter CNAME-Eintrag für die Zone _msdcs.ForestRootDNSDomänenname | | • | Host-Eintrag in der Zone, die seinem primären DNS-Suffix entspricht. |
|
Potenzielle Fehler aufgrund der ReplikationslatenzEs kann sein, dass die DNS-Konfiguration auf beiden Domänencontroller korrekt ist, aber dass die DNS-Einträge aufgrund von Konfigurationsänderungen auf dem Quell-Domänencontroller noch nicht in Kraft sind. In diesem Fall kann ein DNS-Lookup folgendermaßen fehlschlagen: | • | Wenn der Quell-Domänencontroller den DNS-Server, auf dem er seine Einträge registriert, ändert, kann es sein, dass sich die Einträge des vom Ziel-Domänencontroller abgefragten DNS-Servers von den Einträgen auf dem neuen DNS-Server des Quell-Domänencontrollers unterscheiden. Dies kann passieren, wenn die Einträge noch nicht zum DNS-Server des Ziel-Domänencontrollers repliziert wurden. |
Sollte ein solches Problem auftreten, wählen Sie aus der folgenden Liste das Verfahren aus, das das Problem am besten beschreibt. Ereignis-ID 1925: Aufgrund eines DNS-Lookup-Problems fehlgeschlagener Versuch, eine Replikationsverbindung aufzubauen" Ereignis-ID 2087: DNS-Lookup sorgt für einen Replikationsfehler" Ereignis-ID 2088: DNS-Lookup-Fehler mit erfolgreicher Replikation" Ereignis-ID 1925: Aufgrund eines DNS-Lookup-Problems fehlgeschlagener Versuch, eine Replikationsverbindung aufzubauenBei Ereignis-ID 1925 ist die eingehende Replikation einer Verzeichnispartition fehlgeschlagen. Sie müssen das entsprechende DNS-Problem beheben. Beispielanzeige für das Ereignis: Ereignistyp:Warnung
Ereignisquelle:NTDS KCC
Ereigniskategorie:Knowledge Consistency Checker
Ereignis-ID:1925
Datum:3/24/2005
Uhrzeit:9:15:46 AM
Benutzer:NT AUTHORITY\ANONYMOUS LOGON
Computer:DC3
Beschreibung:
The attempt to establish a replication link for the following
writable directory partition failed.
Directory partition:
CN=Configuration,DC=contoso,DC=com
Source domain controller:
CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=com
Source domain controller address:
f8786828-ecf5-4b7d-ad12-8ab60178f7cd._msdcs.contoso.com
Intersite transport (if any):
This domain controller will be unable to replicate with the
source domain controller until this problem is corrected.
User Action
Verify if the source domain controller is accessible or
network connectivity is available.
Additional Data
Error value:
8524 The DSA operation is unable to proceed because of a DNS
lookup failure. LösungGehen Sie nach den im Abschnitt “"Ereignis-ID 2087: DNS-Lookup sorgt für einen Replikationsfehler"” beschriebenen Schritten vor. Ereignis-ID 2087: DNS-Lookup sorgt für einen ReplikationsfehlerWenn ein Ziel-Domänencontroller unter Windows Server 2003 mit Service Pack 1 (SP1) das Ereignis 2087 auslöst, konnte der Name des Quell-Domänencontrollers über keinen der möglichen Wege aufgelöst werden. Beispielanzeige für das Ereignis: Ereignistyp:Fehler
Ereignisquelle:NTDS Replication
Ereigniskategorie:DS RPC Client
Ereignis-ID:2087
Datum:3/9/2005
Uhrzeit:11:00:21 AM
Benutzer:NT AUTHORITY\ANONYMOUS LOGON
Computer:DC3
Beschreibung:
Active Directory could not resolve the following DNS host name of
the source domain controller to an IP address. This error prevents
additions, deletions and changes in Active Directory from replicating
between one or more domain controllers in the forest. Security
groups, group policy, users and computers and their passwords will
be inconsistent between domain controllers until this error is
resolved, potentially affecting logon authentication and access
to network resources.
Source domain controller:
dc2
Failing DNS host name:
b0069e56-b19c-438a-8a1f-64866374dd6e._msdcs.contoso.com
NOTE: By default, only up to 10 DNS failures are shown for any
given 12 hour period, even if more than 10 failures occur. To
log all individual failure events, set the following diagnostics
registry value to 1:
Registry Path:
HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client
User Action:
1) If the source domain controller is no longer functioning or
its operating system has been reinstalled with a different
computer name or NTDSDSA object GUID, remove the source domain
controller’s metadata with ntdsutil.exe, using the steps outlined
in MSKB article 216498.
2) Confirm that the source domain controller is running Active
Directory and is accessible on the network by typing
“net view \\<source DC name>” or “ping <source DC name>”.
3) Verify that the source domain controller is using a valid
DNS server for DNS services, and that the source domain
controller’s host record and CNAME record are correctly
registered, using the DNS Enhanced version of DCDIAG.EXE
available on http://www.microsoft.com/dns
dcdiag /test:dns
4) Verify that that this destination domain controller is using
a valid DNS server for DNS services, by running the DNS Enhanced
version of DCDIAG.EXE command on the console of the destination
domain controller, as follows:
dcdiag /test:dns
5) For further analysis of DNS error failures see KB 824449:
http://support.microsoft.com/?kbid=824449
Additional Data
Error value:
11004 The requested name is valid, but no data of the requested
type was found. UrsacheEin Fehler bei der Auflösung des CNAME-Eintrags des Quell-Domänencontrollers kann die folgenden Ursachen haben: | • | Der Quell-Domänencontroller ist nicht in Betrieb, offline oder in einem isolierten Netzwerk. | | • | Es liegt eine der folgenden Situationen vor: | • | Der Quell-Domänencontroller hat seine SRV-Einträge nicht in DNS registriert. | | • | Der Ziel-Domänencontroller nutzt einen ungültigen DNS-Server. | | • | Der Quell-Domänencontroller nutzt einen ungültigen DNS-Server. | | • | Der DNS-Server, der vom Quell-Domänencontroller verwendet wird, hostet nicht die richtigen Zonen, oder die Zonen sind nicht für dynamische Änderungen konfiguriert. | | • | Die vom Ziel-Domänencontroller abgefragten DNS-Server können die Anfragen nicht auflösen und sind mit fehlerhaften Weiterleitungen oder Delegierungen konfiguriert. |
| | • | Active Directory wurde vom Quell-Domänencontroller entfernt und mit der gleichen IP-Adresse neu installiert. Die neue NTDS-Settings-GUID ist jedoch noch nicht auf dem Ziel-Domänencontroller angekommen. | | • | Active Directory wurde vom Quell-Domänencontroller entfernt und mit einer anderen IP-Adresse neu installiert. Der A-Eintrag für die IP-Adresse des Quell-Domänencontrollers ist jedoch entweder nicht registriert oder ist auf dem DNS-Server des Ziel-Domänencontrollers noch nicht vorhanden. | | • | Das Betriebssystem des Quell-Domänencontrollers wurde mit einem anderen Computernamen neu installiert. Die Metadaten wurden jedoch nicht entfernt, oder die Änderung ist noch beim Ziel-Domänencontroller angekommen. |
LösungStellen Sie zuerst fest, ob der Quell-Domänencontroller korrekt arbeitet. Wenn dies nicht der Fall ist, entfernen Sie seine Metadaten. Wenn er korrekt arbeitet, fahren Sie mit den folgenden Schritten fort: | • | Diagnose von DNS-Probleme mit Dcdiag. | | • | Registrieren der DNS-SRV-Einträge plus A-Eintrag. | | • | Synchronisation der Replikation zwischen Quell- und Ziel-Domänencontroller. | | • | Überprüfen der Konsistenz der NTDS-Settings-GUID. |
Prüfen, ob ein Domänencontroller korrekt arbeitetAnforderungen | • | Administrative Berechtigungen: Sie müssen Mitglied der Gruppe Domänenbenutzer sein. | | • | Tools: Net view |
Prüfen, ob ein Domänencontroller korrekt arbeitet | • | Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:
net view \\Quell-DomänencontrollerName
wobei Quell-DomänencontrollerName der NetBIOS-Name des Domänencontrollers ist. |
Dieser Befehl zeigt die Netlogon- und SYSVOL-Freigaben an. Sollte der Domänencontroller tatsächlich nicht korrekt arbeiten und nicht wiederhergestellt werden können, führen Sie die Schritte aus dem nächsten Abschnitt aus. Entfernen der MetadatenDie Bereinigung der Metadaten wird mit Ntdsutil.exe durchgeführt. Sie entfernt alle Daten aus Active Directory, die einen Domänencontroller identifizieren. Unter Windows Server 2003 Service Pack 1 (SP1) entfern das Verfahren außerdem automatisch FRS-Verbindungen und versucht, alle Betriebsmasterrollen, die der alte Domänencontroller innehatte, zu übertragen oder zu übernehmen. Administrative Berechtigungen Um das Verfahren durchführen zu können, müssen Sie Mitglied der Gruppe Organisations-Admins sein. "Bereinigen der Metadaten" 1. | Öffnen Sie eine Eingabeaufforderung. | 2. | Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:
ntdsutil | 3. | Führen Sie den folgenden Befehl aus: metadata cleanup | • | Wenn Sie Ntdsutil.exe unter Windows Server 2003 SP1 nutzen, führen Sie den folgenden Befehl aus: remove selected server ServerName
oder remove selected server ServerName1 on ServerName2 ServerName, ServerName1 | DNs der Domänencontroller, dessen Metadaten Sie löschen wollen. (cn=ServerName,cn=Servers,cn=Standortname, cn=Sites,cn=Configuration,dc=Stammdomäne | ServerName2 | DNS-Name des Domänencontrollers, von dem Sie die Metadaten entfernen möchten. |
| | • | Wenn Sie Ntdsutil.exe unter Windows Server 2003 ohne SP ausführen, gehen Sie folgendermaßen vor: | • | Geben Sie den folgenden Befehl ein:
connection | | • | Geben Sie den folgenden Befehl ein:
connect to server Server | | • | Geben Sie den folgenden Befehl ein:
quit | | • | Geben Sie den folgenden Befehl ein:
select operation target | | • | Geben Sie den folgenden Befehl ein:
list sites
Eine Liste mit Standorten wird angezeigt. | | • | Geben Sie den folgenden Befehl ein:
select site Standortnummer | | • | Geben Sie den folgenden Befehl ein:
list domains in site
Es sollte eine Liste mit den Domänen am ausgewählten Standort angezeigt werden. | | • | Geben Sie den folgenden Befehl ein:
select domain Domänennummer | | • | Geben Sie den folgenden Befehl ein:
list servers in site
Eine Liste mit Servern wird angezeigt. | | • | Geben Sie den folgenden Befehl ein:
select server ServerNummer | | • | Geben Sie den folgenden Befehl ein:
quit | | • | Geben Sie den folgenden Befehl ein:
remove selected server |
Nun sollte Active Directory bestätigen, dass der Domänencontroller entfernt wurde. |
| 4. | Geben Sie quit ein. |
Diagnose von DNS-Probleme mit DcdiagWenn der Domänencontroller online ist, nutzen Sie Dcdiag zur Diagnose und Behebung von DNS-Problemen. Verwenden Sie eines oder mehrere der folgenden Verfahren: | • | Prüfen Sie die Konnektivität und die grundlegende DNS-Funktionalität. | | • | Prüfen Sie die Registrierung der CNAME-Einträge. | | • | Prüfen Sie, ob dynamische Aktualisierungen aktiviert sind. |
Bevor Sie mit weiteren Schritten beginnen, sammeln Sie die folgenden Informationen (Sie finden Sie im Text des Ereignisses 2087: | • | Den FQDN des Quell- und Ziel-Domänencontrollers. | | • | Die IP-Adresse des Quell-Domänencontrollers. |
Die Dcdiag-Version aus den Windows Support Tools von Windows Server 2003 SP1 testet grundlegende und erweiterte DNS-Features. Mit ihm können Sie die grundlegende DNS-Funktionalität und die dynamischen Updates testen. Anforderungen | • | Administrative Berechtigungen: Um die Tests der SP1-Version von Dcdiag durchführen zu können, müssen Sie Mitglied der Gruppe Organisations-Admins sein. | | • | Tools: Dcdiag.exe | | • | Betriebssystem: | • | Die erweiterte Version können Sie unter den folgenden Betriebssystemen ausführen:
Windows XP Professional
Windows Server 2003
Windows Server 2003 mit SP1 | | • | Sie können die neuen Dcdiag-DNS-Tests gegen Microsoft DNS-Server ausführen, die unter den folgenden Betriebssystemen ausgeführt werden:
Windows 2000 Server Service Pack 3 (SP3)
Windows 2000 Server Service Pack 4 (SP4)
Windows Server 2003
Windows Server 2003 mit SP1 |
|
Anmerkung Mit dem Schalter /f: können Sie die Ausgaben von Dcdiag in einer Textdatei speichern. Prüfen der grundlegenden DNS-FunktionalitätZu den grundlegenden DNS-Tests gehören: | • | Konnektivität: Dieser Test prüft, ob die Domänencontroller angepingt werden können und ob eine LDAP/RPC-Konnektivität besteht. Wenn diese Tests fehlschlagen, werden keine weiteren Tests ausgeführt. | | • | Grundlegende Dienste: Dieser Test prüft die folgenden Dienste: | • | DNS-Client | | • | NetLogon | | • | Key Distribution Center (KDC) | | • | DNS-Server |
| | • | DNS-Client-Konfiguration: Prüft, ob alle DNS-Server aller Adapter erreichbar sind. | | • | Registrierung der Ressourceneinträge: Prüft, ob ein A-Eintrag auf mindesten einem der DNS-Server des Clients registriert ist. | | • | Zone und SOA: Wenn der Domänencontroller den DNS-Server-Dienst ausführt, prüft der Test, ob die Active Directory-Domänen-Zone und ein SOA-Eintrag für die Zone vorhanden sind. | | • | Stammzone: Prüft, ob die Stammzone (.) vorhanden ist. |
Prüfen der grundlegenden DNS-Funktionalität 1. | Öffnen Sie eine Eingabeaufforderung. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:
dcdiag /test:dns /s:DomänencontrollerName /DnsBasic
wobei DomänencontrollerNameis der DNS- oder NetBIOS-Name oder der DN des zu testenden Domänencontrollers ist.
Wenn Sie den Schalter /s: nicht verwenden, wird der Test gegen den lokalen Domänencontroller ausgeführt. Mit /e: testen Sie alle Domänencontroller der Gesamtstruktur. | 2. | Kopieren Sie den Bericht in Notepad. | 3. | Scrollen Sie zur Zusammenfassung am Ende. | 4. | Notieren Sie sich die Namen aller Domänencontroller, bei denen als Status “Warn” oder “Fail” angegeben ist. | 5. | Suchen Sie in den entsprechenden Abschnitt nach der genauen Problembeschreibung. | 6. | Nehmen Sie die notwendigen Änderungen vor. | 7. | Führen Sie Dcdiag /test:CheckSecurityError mit /e: oder /s: ein weiteres Mal aus. | 8. | Führen Sie dcdiag /test:dns /s:DomänencontrollerName /DnsBasic ein weiteres Mal aus. |
Prüfen der Registrierung der RessourceneinträgeDer Ziel-Domänencontroller nutzt den CNAME-Eintrag, um den Quell-Domänencontroller zu finden. Mit dcdiag /test:dns /DnsRecordRegistration können Sie prüfen, ob die folgenden Ressourceneinträge vorhanden sind: | • | CNAME | | • | A | | • | LDAP SRV | | • | GC SRV | | • | PDC SRV |
Wenn der CNAME-Eintrag nicht registriert ist, prüfen Sie, ob dynamische Updates aktiviert werden. Prüfen der dynamischen UpdatesMit diesem Test können Sie prüfen, ob der NetLogon-Dienst die Einträge möglicherweise nicht registrieren konnte. Der beim Test erstelle Eintrag wird hinterher automatisch wieder gelöscht. Prüfen der dynamischen Updates | • | Öffnen Sie eine Eingabeaufforderung. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:
dcdiag /test:dns /s:Quell-DomänencontrollerName /DnsDynamicUpdate
wobei Quell-DomänencontrollerName dern DN, NetBIOS- oder DNS-Name des Domänencontrollers ist.
Mit /e: können Sie alle Domänencontroller prüfen. |
Wenn keine sicheren dynamischen Updates konfiguriert sind, gehen Sie folgendermaßen vor: Aktivieren von sicheren dynamischen Updates 1. | Öffnen Sie die DNS-Konsole. | 2. | Klicken Sie im Konsolenbereich mit rechts auf die Zone, und klicken Sie dann auf Eigenschaften. | 3. | Stellen Sie sicher, dass die Zone unter der Registerkarte Allgemein als Active Directory-integriert angezeigt wird. | 4. | Klicken Sie unter Dynamische Updates auf Nur sichere. |
Registrieren der DNS-RessourceneinträgeWenn keine DNS-Ressourceneinträge für den Quell-Domänencontroller vorhanden sind, müssen Sie diese manuell registrieren. Sie können dies über das folgende Verfahren erzwingen. Net Logon registriert die SRV-Einträge, und der DNS-Client registriert den A-Eintrag, auf den der CNAME-Eintrag verweist. Anforderungen | • | Administrative Berechtigungen: Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins der Stammdomäne oder der Gruppe Organisations-Admins sein. | | • | Tools: net stop/start, ipconfig |
Registrieren der DNS-Ressourceneinträge 1. | Führen Sie die folgenden Befehle aus:
net stop net logon & net start net logon | 2. | Geben Sie die folgenden Befehle ein, und drücken Sie dann jeweils die EINGABETASTE:
ipconfig /flushdns & ipconfig /registerdns | 3. | Warten Sie 15 Minuten, und prüfen Sie dann in der Ereignisanzeige, ob die Registrierung erfolgreich war. |
Synchronisation der Replikation zwischen Quell- und Ziel-DomänencontrollerWenn die DNS-Tests vollständig sind, synchronisieren Sie die Replikation für die eingehende Verbindung vom Quell-Domänencontroller an den Ziel-Domänencontroller. Anforderungen | • | Administrative Berechtigungen: Sie müssen Mitglied der Gruppe Domänen-Admins in der Domäne des Ziel-Domänencontrollers sein. | | • | Tool: Active Directory-Standorte und -Dienste |
Synchronisation der Replikation zwischen Quell- und Ziel-Domänencontroller 1. | Öffnen Sie Active Directory-Standorte und -Dienste. | 2. | Klicken Sie doppelt auf Sites, klicken Sie doppelt auf den Standort mit dem Domänencontroller, dessen Replikation Sie synchronisieren möchten. Klicken Sie doppelt auf Servers, klicken Sie doppelt auf den Domänencontroller, und klicken Sie dann auf NTDS Settings. | 3. | Suchen Sie unter der Spalte Von Server nach dem Verbindungsobjekt mit dem Namen des Quelldomänencontrollers. | 4. | Klicken Sie mit rechts auf das Verbindungsobjekt, und klicken Sie dann auf Jetzt replizieren. | 5. | Klicken Sie auf OK. |
Wenn die Replikation fehlschlägt, wiederholen Sie die Schritte aus diesem Abschnitt. Prüfen der Konsistenz der NTDS-Settings-GUIDWenn sie alle DNS-Tests und alle anderen Tests abgeschlossen haben und trotzdem keine erfolgreiche Replikation stattfindet, prüfen Sie die GUID des NTDS-Settings-Objekts, das der Ziel-Domänencontroller nutzt, um seinen Replikationspartner zu finden. Diese GUID muss der GUID entsprechen, die im Moment vom Quell-Domänencontroller verwendet wird. Anforderungen | • | Administrative Berechtigungen: Sie müssen Mitglied in der Gruppe Domänen-Admins der Domäne des Ziel-Domänencontrollers sein. | | • | Tool: Ldp (Windows Support Tools) |
Prüfen der Konsistenz der NTDS-Settings-GUID 1. | Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie Ldp ein, und klicken Sie dann auf OK. | 2. | Klicken Sie auf Connect. | 3. | Lassen Sie das Feld Server leer. | 4. | In Port geben Sie 389 ein, und klicken Sie dann auf OK. | 5. | Klicken Sie auf Bind. | 6. | Geben Sie Anmeldeinformationen eines Organisations-Admins ein. Wählen sie Domain aus. | 7. | Geben Sie den Namen der Stammdomäne ein, und klicken Sie dann auf OK. | 8. | Klicken Sie auf Tree. | 9. | Unter Tree View geben Sie den folgenden Wert ein:
CN=Configuration,DC=Forest_Root_Domain | 10. | und klicken Sie dann auf OK. | 11. | Navigieren Sie zu CN=NTDS Settings,CN=QuellServerName,CN=Servers,CN=Standortname, CN=Sites,CN=configuration,DC=GesamstrukturSTammdomäne. | 12. | Klicken Sie doppelt auf das NTDS Settings-Object, klicken Sie rechts mit der rechten Maustaste auf den Wert objectGUID, und kopieren Sie diese in Notepad. | 13. | Klicken Sie im Menü Connection auf Disconnect. | 14. | Wiederholen Sie die Schritte 2 bis 11 - geben Sie in Schritt 3 jedoch den Namen des Quell-Domänencontrollers ein. | 15. | Vergleichen Sie die zwei GUIDs in Notepad. | 16. | Wenn die Werte nicht übereinstimmen, muss der Ziel-Domänencontroller eine Replikation mit der gültigen GUID erhalten. Versuchen Sie den Domänencontroller mit einem Domänencontroller zu replizieren, der über die passende GUID verfügt. | 17. | Wenn die GUIDs übereinstimmen, prüfen Sie die GUID des Ressourceneintrags Dsa_Guid._msdcs.Dns_Domänen_Name: | • | Alle DNS-Server, auf die der Domänencontroller zugreift, sollten diesen Ressourceneintrag direkt oder indirekt auflösen können. | | • | Ermitteln Sie den oder die autorisierenden DNS-Server für die Zone. | | • | Öffnen Sie auf den Servern aus Schritt b die DNS-Konsole, und klicken Sie doppelt auf die Forward-Lookup-Zone der Stammdomäne der Gesamtstruktur. Klicken Sie doppelt auf den Ordner _msdcs, und notieren Sie sich CNAME-Ressourceneinträge für den betreffenden Servernamen. | | • | dWenn es keine Ressourceneinträge gibt oder diese inkorrekt sind, lesen Sie den Artikel SRV Records Missing After Implementing Active Directory and Domain Name System unter http://go.microsoft.com/fwlink/?LinkId=69994. |
|
Ereignis-ID 2088: DNS-Lookup-Fehler mit erfolgreicher ReplikationWenn ein Ziel-Domänencontroller unter Windows Server 2003 Service Pack 1 (SP1) das Ereignis 2088 auslöst, ist das Auflösen des CNAME-Ressourceneintrags für den Quell-Domänencontroller fehlgeschlagen. Der Domänencontroller versucht jedoch, den Namen über andere Wege aufzulösen. Auch wenn die Replikation so erfolgreich war, sollten Sie eine Diagnose durchführen. Beispielanzeige für das Ereignis: Ereignistyp:Warnung
Ereignisquelle:NTDS Replication
Ereigniskategorie:DS RPC Client
Ereignis-ID:2088
Datum:3/21/2005
Uhrzeit:2:29:34 PM
Benutzer:NT AUTHORITY\ANONYMOUS LOGON
Computer:DC3
Beschreibung:
Active Directory could not use DNS to resolve the IP address of the
source domain controller listed below. To maintain the consistency
of Security groups, group policy, users and computers and their passwords,
Active Directory successfully replicated using the NetBIOS or fully
qualified computer name of the source domain controller.
Invalid DNS configuration may be affecting other essential operations on
member computers, domain controllers or application servers in this
Active Directory forest, including logon authentication or access to network
resources.
You should immediately resolve this DNS configuration error so that
this domain controller can resolve the IP address of the source
domain controller using DNS.
Alternate server name:
dc1
Failing DNS host name:
4a8717eb-8e58-456c-995a-c92e4add7e8e._msdcs.contoso.com
NOTE: By default, only up to 10 DNS failures are shown for any given
12 hour period, even if more than 10 failures occur. To log all
individual failure events, set the following diagnostics registry
value to 1:
Registry Path:
HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client
User Action:
1) If the source domain controller is no longer functioning or its
operating system has been reinstalled with a different computer
name or NTDSDSA object GUID, remove the source domain controller’s
metadata with ntdsutil.exe, using the steps outlined in MSKB article 216498.
2) Confirm that the source domain controller is running Active Directory
and is accessible on the network by typing “net view \\<source DC name>”
or “ping <source DC name>”.
3) Verify that the source domain controller is using a valid DNS server
for DNS services, and that the source domain controller’s host record
and CNAME record are correctly registered, using the DNS Enhanced
version of DCDIAG.EXE available on http://www.microsoft.com/dns
dcdiag /test:dns
4) Verify that that this destination domain controller is using a
valid DNS server for DNS services, by running the DNS Enhanced
version of DCDIAG.EXE command on the console of the destination
domain controller, as follows:
dcdiag /test:dns
5) For further analysis of DNS error failures see KB 824449:
http://support.microsoft.com/?kbid=824449
Additional Data
Error value:
11004 The requested name is valid, but no data of the requested
type was found UrsacheCNAME-Eintrag konnte nicht aufgelöst werden. LösungFühren Sie die unter “"Ereignis-ID 2087: DNS-Lookup sorgt für einen Replikationsfehler" beschriebenen DNS-Tests aus. Beheben von |
