So testen Administratoren die AD-Zuverlässigkeit im Netzwerk Active-Directory-Diagnosen für mehr Stabilität und Sicherheit

Administratoren, die ein Active Directory verwalten, sollten ab und an die Stabilität der Domänencontroller und deren Verbindung untereinander überprüfen. Dazu reicht es aber nicht aus, nur die Ereignisanzeigen zu lesen oder Überwachungstools zu nutzen. Schon mit einfachen Bordmitteln gewinnen Administratoren jedoch schnell einen Überblick.

Im folgenden Beitrag zeigen wir, wie Administratoren eine schnelle aber aussagekräftige Analyse von Active-Directory-Umgebungen durchführen. Dabei geht nicht um umfassende Befehlssätze, mit denen sich ein Active Directory vollständig dokumentieren lässt. Der Sinn der hier vorgestellten Befehle soll sein, einen schnellen Überblick zu erhalten, sich in die Arbeitsweise von Active Directory einzuarbeiten und Fehler frühzeitig zu erkennen.

Bildergalerie

Bildergalerie mit 14 Bildern

Die Befehle funktionieren nicht nur in den neuen Server-Versionen Windows Server 2012/2012 R2, sondern auch in den Vorgängern Windows Server 2008/2008 R2 und teilweise sogar noch bei Windows Server 2003/2003 R2. Tauchen bei der Diagnose Fehler auf, lassen sich diese oft weitaus schneller und vor allem ohne Zeitdruck beheben, als dies bei einem akuten Ausfalle des Netzwerks der Fall wäre, weil dann wichtige Authentifizierungen nicht mehr funktionieren.

Wir verzichten bei den nachfolgenden Befehlen bewusst auf die Erläuterung aller möglichen Optionen, sondern zeigen angepasste praktische und schnell umsetzbare Vorgehensweisen.

Die Befehle und Tools, die wir nachfolgend vorstellen, gehören entweder zu den Bordmitteln der Server-Editionen oder werden von Microsoft kostenlos zur Verfügung gestellt. Viele der Befehle lassen sich auch in Skripte einbetten und automatisiert durchführen.

In der Bildergalerie zu diesem Artikel sind auch die Ergebnisse der Befehle aus einem Beispielnetzwerk zu sehen. Diese sehen natürlich in jeder Umgebung etwas anders aus, ähneln sich aber dennoch.

Bildergalerie

Bildergalerie mit 14 Bildern

Active Directory-Datenbank reparieren und testen

Neben den in der Bildergalerie beschrieben Möglichkeiten zur Fehleranalyse von Domänencontrollern, kann es auch notwendig werden, eine möglicherweise nicht mehr funktionsfähige Active-Directory-Datenbank auf Domänencontrollern zu überprüfen.

Die AD-Datenbank „ntds.dit“ ist normalerweise im Verzeichnis „C:\Windows\ntds“ gespeichert. Es handelt sich dabei um eine ESE-Datenbank, wie sie auch in Exchange zum Einsatz kommt. Um die Datenbank zu überprüfen, wird wie folgt vorgegangen. Wichtig ist, dass der entsprechende Domänencontroller während der folgenden Analysevorgänge nicht für Anwender zur Verfügung steht:

• Starten Sie den Server im Verzeichnisdienst-Wiederherstellungsmodus oder beenden Sie die Active Directory-Domänendienste und alle abhängigen Dienste mit „net stop ntds“ (siehe Abbildung 14).

• Starten Sie danach „Ntdsutil“ und geben Sie anschließend den Befehl „activate instance ntds“ ein.

• Geben Sie „files“ ein, um zu „file maintenance“ zu gelangen.

• Geben Sie „integrity“ ein, um einen Integritätstest der Datenbank durchzuführen. Hier sollte möglichst kein Fehler erscheinen.

• Verlassen Sie mit „quit“ die „file maintenance“, aber bleiben Sie in der Oberfläche von Ntdsutil.

• Geben Sie den Befehl „semantic database analysis“ ein.

• Geben Sie nun zunächst den Befehl „verbose on“ ein, damit Sie detaillierte Informationen erhalten.

• Geben Sie als nächstes den Befehl „go fixup“ ein.

• Das Tool beginnt daraufhin mit der kompletten Diagnose der Active Directory-Datenbank und versucht eine Reparatur durchzuführen, wenn Defekte vorliegen.

• Starten Sie anschließend den Server neu, damit alle notwendigen Systemdienste für Active Directory ebenfalls wieder starten.

Bildergalerie

Bildergalerie mit 14 Bildern

Definition

Was ist Active Directory?