Stabilität und Leistung im Netzwerk mit Bordmitteln und Tools sicherstellen

So prüfen Sie die Konsistenz von Active Directory

| Autor / Redakteur: Thomas Joos / Andreas Donner

Um im Active Directory Stabilität und Zuverlässigkeit zu ermöglichen, muss das System regelmäßig überprüft und gewartet werden.
Um im Active Directory Stabilität und Zuverlässigkeit zu ermöglichen, muss das System regelmäßig überprüft und gewartet werden. (Bild: © ra2 studio - stock.adobe.com)

Die Leistung von Active Directory sollte regelmäßig überprüft werden. Das gilt auch für die Stabilität und Konsistenz. Und diese können bereits mit Bordmitteln und kleinen Tools überprüft und sichergestellt werden. Wir zeigen, welche Möglichkeiten es hier gibt und Werkzeuge infrage kommen.

Wir sind bereits in verschiedenen Beiträgen darauf eingegangen, wie die Replikation und Leistung von Active Directory überprüft werden kann. In diesem Beitrag zeigen wir weitere Optionen und Möglichkeiten, wie vorgegangen werden kann, um sicherzustellen, dass das Active Directory fehlerfrei funktioniert. Die Stabilität von Active Directory behandeln wir auch im Beitrag „Active-Directory-Diagnosen für mehr Stabilität und Sicherheit“.

Fehler bei der Active Directory-Replikation beheben

Fehler zwischen Domänencontrollern diagnostizieren

Fehler bei der Active Directory-Replikation beheben

31.07.12 - Häufige Fehlerursache in einem Active Directory ist die Replikation. Bei der Fehlersuche sollten Administratoren zunächst die beteiligten Domänencontroller überprüfen und testen, ob diese innerhalb ihres Standortes funktionieren. Windows Server 2008 R2/2012 helfen bei der Diagnose solcher Probleme. Wir zeigen welche Tools hilfreich sind und wie Administratoren Fehler diagnostizieren. lesen

Um sich einen Überblick über die aktuelle Struktur und die Einstellungen von Active Directory zu verschaffen, hilft das PowerShell-Modul für Active Directory, das auf Domänencontrollern automatisch installiert wird. Die drei Befehle Get-ADDomain, Get-ADForest und Get-ADDomainController geben diese Informationen, auch ohne weitere Optionen in den CMDlets.

Vorgehensweise zur Überprüfung von Active Directory

Generell sollte sichergestellt sein, dass Domänencontroller regelmäßig gesichert werden. Vor allem der Systemstatus von Active Directory spielt bei der Sicherung eine wichtige Rolle. Dieser muss bei Domänencontrollern in die Sicherung mit einbezogen werden. Dadurch wird auch die Active-Directory-Datenbank gesichert.

Wie die Daten auf Konsistenz überprüft werden können, haben wir im Beitrag „Active-Directory-Diagnosen für mehr Stabilität und Sicherheit“ besprochen. Die wichtigsten Tools für die Diagnose werden in dem genannten Beitrag und den anderen verlinkten Beiträgen behandelt. Für die Überprüfung von Active Directory spielen vor allem die Befehlszeilentools dcdiag, repadmin, nltest und netdom eine wichtige Rolle.

Mit „netdom query fsmo“ werden zum Beispiel die Betriebsmaster aufgelistet. In einem weiteren Schritt zur Überprüfung von Active Directory sollte die Namensauflösung und Netzwerkverbindung zu den Betriebsmastern getestet werden. Hier spielen auch die folgenden beiden Beiträge und die darin gezeigten Tools eine wichtige Rolle.

In bei beiden Beiträgen sind im unteren Bereich jeweils weitere Artikel zu finden, mit denen diese Vorgehensweisen vertieft werden.

Active Directory Health Check

Auf der Seite „Building an Active Directory Health Check Tool [In-Depth]: Part I” wird beschrieben, wie sich Administratoren ein eigenes PowerShell-Skript erstellen können, um eine umfassende AD-Diagnose durchzuführen. Das fertige Skript kann bei GitHub heruntergeladen werden. Nach dem Start von „ADHealthCheck-NoReport.ps1“ testet das Tool die Domänencontroller, Replikation und andere Daten in Active Directory. Das Skript kann an die eigene Umgebung angepasst werden und überprüft anschließend alle wichtigen Bereiche.

Grundlegende Replikations-Überprüfungen

Um sicherzustellen, dass sich alle Domänencontroller miteinander replizieren, sollte zuerst in „Active Directory-Standorte und Dienste“ überprüft werden, welche Domänencontroller sich untereinander replizieren. Die Replikationsverbindungen sollten darüber hinaus über das Kontextmenü gestartet werden. So kann dokumentiert werden, ob sich die Domänencontroller fehlerfrei replizieren und ob auch alle Domänencontroller in die Replikation eingebunden sind. Aber Achtung: es replizieren sich nicht alle Domänencontroller auf alle anderen DCs. Viel mehr legt das Active Directory eine intelligente Replikation fest, in die jeder Domänencontroller integriert ist. Hierzu müssen alle Verbindungen müssen funktionieren.

Für die Überprüfung wird „dssite.msc“ aufgerufen. Hier sind alle Standorte zu finden. Unterhalb jedes Standortes gibt es den Menüpunkt „Servers“. Hier sind die einzelnen Replikationsverbindungen aufgelistet. Über das Kontextmenü kann die Replikation gestartet werden. Diese Replikation sollte fehlerfrei durchgeführt werden.

Wichtig ist aber, dass im Snap-In „Active Directory-Standorte und Dienste“ zunächst überprüft wird, wie die Replikationsinfrastruktur aussieht. Die einzelnen Server sollten zudem angepingt werden, denn dadurch lässt sich überprüfen, ob die Server erreichbar sind.

Die Replikation kann auch dadurch getestet werden, indem ein neuer Benutzer angelegt wird. Wenn die Replikation daraufhin manuell oder automatisch gestartet wird, sollte der Benutzer danach auf allen Domänencontrollern angezeigt werden.

Die manuelle Verbindung zu den Domänencontrollern kann zum Beispiel im Snap-In „Active Directory-Standorte und Dienste“ über den oberen Menüpunkt „Active Directory-Benutzer und -Computer“ durch die Auswahl von „Domänencontroller ändern“ im Kontextmenü angepasst werden.

Ereignisanzeige überprüfen

Für die Überprüfung der Konsistenz von Active Directory spielt das Protokoll „Directory Service“ in der Ereignisanzeige unterhalb von „Anwendungs- und Dienstprotokolle“ eine wichtige Rolle. Hier sind Replikationsverbindungen und wichtige Ereignisse von Active Directory zu sehen.

Auch die DNS-Server und deren Zustand spielen eine wichtige Rolle. In den beiden oben genannten Beiträgen haben wir bereits gezeigt, wie die Namensauflösung getestet werden kann. Wichtig ist aber auch das Protokoll „DNS Server“ im Bereich „Anwendungs- und Dienstprotokolle“. Auch dieses sollte auf Fehler überprüft werden, idealerweise auf allen DNS-Servern der Infrastruktur.

Neben den genannten Protokollen, spielen auch die folgenden Protokolle in der Ereignisanzeige eine wichtige Rolle bei der Überprüfung:

  • System
  • DFS-Replikation
  • Active Directory Web Services

Zusätzlich sollte noch das Protokoll zum Heraufstufen eines Domänencontrollers überprüft werden (dcpromo.log). Dieses Protokoll ist im Windows-Verzeichnis im Unterverzeichnis „debug“ zu finden.

Leistung von Domänencontrollern testen

Wenn ein Domänencontroller Probleme bereitet oder das Active Directory nicht korrekt funktioniert, sollte natürlich immer zuerst die Diagnose der Domänencontroller erfolgen, genauso wie die Überprüfung der Namensauflösung. Aber auch die Leistung der Server spielt eine Rolle. Über den Taskmanager kann schnell und einfach überprüft werden, ob einzelne Domänencontroller bezüglich der CPU, des Arbeitsspeichers oder der Festplattenleistung eingeschränkt oder überlastet sind.

Natürlich spielt auch die Leistung im Netzwerk eine wichtige Rolle. Auch das wird im Taskmanager angezeigt. Auf der Registerkarte „Leistung“ sind diese Daten zu sehen. Über die Registerkarte „Details“ kann durch das Anklicken der verschiedenen Spalten nach Auslastung der CPU und des Arbeitsspeichers sortiert werden.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46354930 / LAN- und VLAN-Administration)