Suchen

Stabilität und Leistung im Netzwerk mit Bordmitteln und Tools sicherstellen So prüfen Sie die Konsistenz von Active Directory

| Autor / Redakteur: Thomas Joos / Dipl.-Ing. (FH) Andreas Donner

Die Leistung von Active Directory sollte regelmäßig überprüft werden. Das gilt auch für die Stabilität und Konsistenz. Und diese können bereits mit Bordmitteln und kleinen Tools überprüft und sichergestellt werden. Wir zeigen, welche Möglichkeiten es hier gibt und Werkzeuge infrage kommen.

Firmen zum Thema

Um im Active Directory Stabilität und Zuverlässigkeit zu ermöglichen, muss das System regelmäßig überprüft und gewartet werden.
Um im Active Directory Stabilität und Zuverlässigkeit zu ermöglichen, muss das System regelmäßig überprüft und gewartet werden.
(Bild: © ra2 studio - stock.adobe.com)

Wir sind bereits in verschiedenen Beiträgen darauf eingegangen, wie die Replikation und Leistung von Active Directory überprüft werden kann. In diesem Beitrag zeigen wir weitere Optionen und Möglichkeiten, wie vorgegangen werden kann, um sicherzustellen, dass das Active Directory fehlerfrei funktioniert. Die Stabilität von Active Directory behandeln wir auch im Beitrag „Active-Directory-Diagnosen für mehr Stabilität und Sicherheit“.

Um sich einen Überblick über die aktuelle Struktur und die Einstellungen von Active Directory zu verschaffen, hilft das PowerShell-Modul für Active Directory, das auf Domänencontrollern automatisch installiert wird. Die drei Befehle Get-ADDomain, Get-ADForest und Get-ADDomainController geben diese Informationen, auch ohne weitere Optionen in den CMDlets.

Bildergalerie

Bildergalerie mit 11 Bildern

Vorgehensweise zur Überprüfung von Active Directory

Generell sollte sichergestellt sein, dass Domänencontroller regelmäßig gesichert werden. Vor allem der Systemstatus von Active Directory spielt bei der Sicherung eine wichtige Rolle. Dieser muss bei Domänencontrollern in die Sicherung mit einbezogen werden. Dadurch wird auch die Active-Directory-Datenbank gesichert.

Wie die Daten auf Konsistenz überprüft werden können, haben wir im Beitrag „Active-Directory-Diagnosen für mehr Stabilität und Sicherheit“ besprochen. Die wichtigsten Tools für die Diagnose werden in dem genannten Beitrag und den anderen verlinkten Beiträgen behandelt. Für die Überprüfung von Active Directory spielen vor allem die Befehlszeilentools dcdiag, repadmin, nltest und netdom eine wichtige Rolle.

Mit „netdom query fsmo“ werden zum Beispiel die Betriebsmaster aufgelistet. In einem weiteren Schritt zur Überprüfung von Active Directory sollte die Namensauflösung und Netzwerkverbindung zu den Betriebsmastern getestet werden. Hier spielen auch die folgenden beiden Beiträge und die darin gezeigten Tools eine wichtige Rolle.

In bei beiden Beiträgen sind im unteren Bereich jeweils weitere Artikel zu finden, mit denen diese Vorgehensweisen vertieft werden.

Active Directory Health Check

Auf der Seite „Building an Active Directory Health Check Tool [In-Depth]: Part I” wird beschrieben, wie sich Administratoren ein eigenes PowerShell-Skript erstellen können, um eine umfassende AD-Diagnose durchzuführen. Das fertige Skript kann bei GitHub heruntergeladen werden. Nach dem Start von „ADHealthCheck-NoReport.ps1“ testet das Tool die Domänencontroller, Replikation und andere Daten in Active Directory. Das Skript kann an die eigene Umgebung angepasst werden und überprüft anschließend alle wichtigen Bereiche.

Grundlegende Replikations-Überprüfungen

Um sicherzustellen, dass sich alle Domänencontroller miteinander replizieren, sollte zuerst in „Active Directory-Standorte und Dienste“ überprüft werden, welche Domänencontroller sich untereinander replizieren. Die Replikationsverbindungen sollten darüber hinaus über das Kontextmenü gestartet werden. So kann dokumentiert werden, ob sich die Domänencontroller fehlerfrei replizieren und ob auch alle Domänencontroller in die Replikation eingebunden sind. Aber Achtung: es replizieren sich nicht alle Domänencontroller auf alle anderen DCs. Viel mehr legt das Active Directory eine intelligente Replikation fest, in die jeder Domänencontroller integriert ist. Hierzu müssen alle Verbindungen müssen funktionieren.

Für die Überprüfung wird „dssite.msc“ aufgerufen. Hier sind alle Standorte zu finden. Unterhalb jedes Standortes gibt es den Menüpunkt „Servers“. Hier sind die einzelnen Replikationsverbindungen aufgelistet. Über das Kontextmenü kann die Replikation gestartet werden. Diese Replikation sollte fehlerfrei durchgeführt werden.

Wichtig ist aber, dass im Snap-In „Active Directory-Standorte und Dienste“ zunächst überprüft wird, wie die Replikationsinfrastruktur aussieht. Die einzelnen Server sollten zudem angepingt werden, denn dadurch lässt sich überprüfen, ob die Server erreichbar sind.

Die Replikation kann auch dadurch getestet werden, indem ein neuer Benutzer angelegt wird. Wenn die Replikation daraufhin manuell oder automatisch gestartet wird, sollte der Benutzer danach auf allen Domänencontrollern angezeigt werden.

Die manuelle Verbindung zu den Domänencontrollern kann zum Beispiel im Snap-In „Active Directory-Standorte und Dienste“ über den oberen Menüpunkt „Active Directory-Benutzer und -Computer“ durch die Auswahl von „Domänencontroller ändern“ im Kontextmenü angepasst werden.

Bildergalerie

Bildergalerie mit 11 Bildern

Ereignisanzeige überprüfen

Für die Überprüfung der Konsistenz von Active Directory spielt das Protokoll „Directory Service“ in der Ereignisanzeige unterhalb von „Anwendungs- und Dienstprotokolle“ eine wichtige Rolle. Hier sind Replikationsverbindungen und wichtige Ereignisse von Active Directory zu sehen.

Auch die DNS-Server und deren Zustand spielen eine wichtige Rolle. In den beiden oben genannten Beiträgen haben wir bereits gezeigt, wie die Namensauflösung getestet werden kann. Wichtig ist aber auch das Protokoll „DNS Server“ im Bereich „Anwendungs- und Dienstprotokolle“. Auch dieses sollte auf Fehler überprüft werden, idealerweise auf allen DNS-Servern der Infrastruktur.

Neben den genannten Protokollen, spielen auch die folgenden Protokolle in der Ereignisanzeige eine wichtige Rolle bei der Überprüfung:

  • System
  • DFS-Replikation
  • Active Directory Web Services

Zusätzlich sollte noch das Protokoll zum Heraufstufen eines Domänencontrollers überprüft werden (dcpromo.log). Dieses Protokoll ist im Windows-Verzeichnis im Unterverzeichnis „debug“ zu finden.

Leistung von Domänencontrollern testen

Wenn ein Domänencontroller Probleme bereitet oder das Active Directory nicht korrekt funktioniert, sollte natürlich immer zuerst die Diagnose der Domänencontroller erfolgen, genauso wie die Überprüfung der Namensauflösung. Aber auch die Leistung der Server spielt eine Rolle. Über den Taskmanager kann schnell und einfach überprüft werden, ob einzelne Domänencontroller bezüglich der CPU, des Arbeitsspeichers oder der Festplattenleistung eingeschränkt oder überlastet sind.

Natürlich spielt auch die Leistung im Netzwerk eine wichtige Rolle. Auch das wird im Taskmanager angezeigt. Auf der Registerkarte „Leistung“ sind diese Daten zu sehen. Über die Registerkarte „Details“ kann durch das Anklicken der verschiedenen Spalten nach Auslastung der CPU und des Arbeitsspeichers sortiert werden.

Active Directory im Fokus

Bildergalerie mit 34 Bildern

(ID:46354930)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist