Die WinTipps 2001 - Das deutsche Windows-Portal
Das deutsche Windows-Portal
Artikel 177: Behandlung häufig auftretender Active Directory-Probleme
Zusammenfassung:
Einige verbreitete Probleme, die bei der Installation und Konfiguration von Active Directory auftreten, können einen teilweisen oder vollständigen Verlust der Funktionalität von Active Directory zur Folge haben. Zu diesen Problemen zählen unter anderem:

  • Fehler bei der Konfiguration des Domain Name System (DNS)
  • Netzwerkkonfigurationsprobleme
  • Schwierigkeiten beim Aktualisieren von Microsoft Windows NT

In diesem Artikel wird die Behandlung von Active Directory-Problemen anhand der Identifizierung häufig auftretender Konfigurationsprobleme beschrieben. Weitere Informationen zu den in diesem Artikel beschriebenen Problemen finden Sie in der Windows 2000-Hilfe sowie im Deployment Planning Guide.

Kapitel 9 des Deployment Planning Guide beschreibt den Aufbau der Active Directory-Struktur, der für eine erfolgreiche Einrichtung von Active Directory für Windows 2000 von entscheidender Bedeutung ist.

Weitere Informationen:
Berücksichtigen Sie bei der Untersuchung von Active Directory-Setupproblemen bitte besonders die folgenden Elemente:

Domain Name System (DNS):
Sie müssen DNS korrekt konfigurieren, um die einwandfreie Funktion von Active Directory sicherzustellen.

Überprüfen Sie die folgenden Konfigurationselemente, um zu gewährleisten, dass DNS fehlerfrei eingerichtet ist und die DNS-Einträge für Active Directory korrekt registriert werden:

  • DNS-IP-Konfiguration
  • Active Directory-DNS-Registrierung
  • Dynamische Zonenaktualisierung
  • DNS-Weiterleitungen

DNS-IP-Konfiguration:
Ein Active Directory-Server, der als Host für DNS fungiert, muss korrekt konfigurierte TCP/IP-Einstellungen haben. TCP/IP muss auf einem Active Directory-DNS-Server so konfiguriert sein, dass es auf sich selbst verweist, so dass sich der Server bei seinem eigenen DNS-Server registrieren kann. Um die aktuelle IP-Konfiguration einzusehen, öffnen Sie bitte ein Befehlsfenster und geben Sie dort ipconfig /all ein (ohne die Anführungszeichen), um die Details anzeigen zu lassen. Sie können die DNS-Konfiguration ändern, indem Sie die folgenden Schritte ausführen:

  1. Klicken Sie mit der rechten Maustaste auf Netzwerkumgebung und klicken Sie dann auf Eigenschaften.
  2. Klicken Sie mit der rechten Maustaste auf LAN-Verbindung und klicken Sie dann auf Eigenschaften.
  3. Klicken Sie auf Internetprotokoll (TCP/IP) und dann auf Eigenschaften.
  4. Klicken Sie auf Erweitert und dann auf die Registerkarte DNS.
Konfigurieren Sie die DNS-Informationen wie folgt:

  1. Konfigurieren Sie die DNS-Serveradressen so, dass sie auf den DNS-Server verweisen. Falls es sich um den ersten Server handelt oder kein dedizierter DNS-Server konfiguriert werden soll, müssen Sie hier die eigene IP-Adresse des Computers angeben.
  2. Falls die Einstellung für die Auflösung unvollständiger Namen Diese DNS-Suffixe anhängen (in Reihenfolge): lautet, müsste der DNS-Domänenname für Active Directory zuerst aufgeführt sein (an der ersten Position in der Liste).
  3. Stellen Sie sicher, dass die Einstellung unter DNS-Suffix für diese Verbindung: mit dem Active Directory-Domänennamen identisch ist.
  4. Stellen Sie sicher, dass das Kontrollkästchen Adressen dieser Verbindung in DNS registrieren aktiviert ist.
  5. In einer Eingabeaufforderung geben Sie bitte ipconfig /flushdns ein, um den DNS-Auflösungscache zu leeren, und geben Sie dann ipconfig /registerdns ein (ohne die Anführungszeichen), um die DNS-Ressourceneinträge registrieren zu lassen.

Starten Sie die DNS-Management-Konsole. Dort sollte es einen Hosteintrag (einen A-Eintrag in der erweiterten Ansicht) für den Computernamen geben. Außerdem sollten Sie dort einen Eintrag Autoritätsursprung (SOA in der erweiterten Ansicht) sehen, der auf den Domänencontroller (DC) verweist, sowie einen Eintrag Namensserver (NS in der erweiterten Ansicht).

Active Directory-DNS-Registrierung:
Die Active Directory-DNS-Einträge müssen in DNS registriert werden. Bei der DNS-Zone kann es sich entweder um eine primäre Standardzone oder eine Active Directory-integrierte Zone handeln. Eine Active Directory-integrierte Zone unterscheidet sich in vielerlei Hinsicht von einer primären Standardzone. Eine Active Directory-integrierte Zone bietet die folgenden Vorteile:

Der DNS-Dienst von Windows 2000 speichert Zonendaten in Active Directory. Dies führt dazu, das die DNS-Replikation mehrere Master erzeugt. Außerdem kann jeder DNS-Server Aktualisierungen für eine Active Directory-integrierte Zone entgegen nehmen. Durch den Einsatz der Active Directory-Integration ist es zudem nicht mehr erforderlich, eine separate Replikationstopologie für die DNS-Zonenübertragung zu unterhalten.
Sichere dynamische Aktualisierungen werden in die Windows-Sicherheit integriert. Dadurch hat ein Administrator die Möglichkeit, präzise zu steuern, welche Computer welche Namen aktualisieren dürfen, und es wird verhindert, dass nicht dazu berechtigte Computer bei DNS existierende Namen abfragen können.

Führen Sie bitte die folgenden Schritte durch, um sicherzustellen, dass DNS die Active Directory-DNS-Einträge registriert:

  1. Starten Sie die DNS-Management-Konsole.
  2. Expandieren Sie die Zoneninformationen unter dem Servernamen.
  3. Expandieren Sie die Option Forward-Lookupzonen und klicken Sie dann mit der rechten Maustaste auf den Namen der DNS-Zone der Active Directory-Domäne.
  4. Wenn DNS die Active Directory-DNS-Einträge korrekt registriert, sind vier Ordner mit den folgenden Bezeichnungen vorhanden:

    • _msdcs
    • _sites
    • _tcp
    • _udp

Falls diese Ordner nicht existieren, werden die Active Directory-DNS-Einträge nicht von DNS registriert. Diese Einträge sind für die Funktionalität von Active Directory von entscheidender Bedeutung und müssen innerhalb der DNS-Zone vorhanden sein. Sind sie nicht vorhanden, sollten Sie die Active Directory-DNS-Eintragsregistrierung reparieren. Führen Sie hierzu die folgenden Schritte durch:

  1. Prüfen Sie, ob der Eintrag Stammzone vorhanden ist. Sehen Sie hierzu die Forward-Lookupzonen in der DNS-Management-Konsole ein. Dort müsste es einen Eintrag für die Domäne und möglicherweise auch weitere Zoneneinträge geben.
  2. Es darf keine Zone des Typs . geben. Ist eine solche Zone vorhanden, löschen Sie diese bitte. Eine Zone des Typs . identifiziert den DNS-Server als Stammserver.
  3. In der Regel sollte eine Active Directory-Domäne, die einen Internetzugang benötigt, nicht als Stamm-DNS-Server konfiguriert werden.

Der Server muss wahrscheinlich seine IP-Konfiguration erneut registrieren (unter Verwendung von Ipconfig), nachdem Sie die Zone . gelöscht haben. Außerdem muss möglicherweise der Anmeldedienst Netlogon neu gestartet werden. Weitere Details zu diesem Schritt erfahren Sie an späterer Stelle in diesem Artikel.
Erstellen Sie die Active Directory-DNS-Einträge manuell neu. Sie können das Windows 2000-Hilfsprogramm Netdiag verwenden, um die Active Directory-DNS-Einträge wieder aufzufüllen. Netdiag ist Bestandteil der Windows 2000-Supporttools. Geben Sie in einer Eingabeaufforderung netdiag /fix ein.

Führen Sie bitte die folgenden Schritte aus, um die Windows 2000-Supporttools zu installieren:

  1. Legen Sie die Windows 2000-CD-ROM ein.
  2. Browsen Sie zum Ordner Support\Tools.
  3. Führen Sie die Datei "Setup.exe" aus diesem Ordner aus.
  4. Wählen Sie die typische Installation aus. Der standardmäßige Installationspfad ist <Systemlaufwerk>:\Programme\Support Tools.

Nachdem Sie das Dienstprogramm Netdiag ausgeführt haben, aktualisieren Sie bitte die Ansicht in der DNS-Management-Konsole. Die Active Directory-DNS-Einträge müssten dann aufgelistet sein.
Hinweis:
Der Server muss wahrscheinlich seine IP-Konfiguration erneut registrieren (unter Verwendung von Ipconfig), nachdem Sie Netdiag ausgeführt haben. Außerdem muss möglicherweise der Anmeldedienst Netlogon neu gestartet werden.

Falls die Active Directory-DNS-Einträge jetzt immer noch nicht aufgelistet werden, müssen Sie die DNS-Zone eventuell manuell neu erstellen.

Manuelles Erstellen der DNS-Zone:

  1. Starten Sie die DNS-Management-Konsole.
  2. Klicken Sie mit der rechten Maustaste auf den Namen der Zone und klicken Sie dann auf Löschen.
  3. Falls Warnungen angezeigt werden, bestätigen Sie diese bitte, indem Sie auf OK klicken. Die gelöschte Zone wird jetzt nicht mehr unter den Forward-Lookupzonen aufgeführt.
  4. Klicken Sie mit der rechten Maustaste auf Forward-Lookupzonen und klicken Sie dann auf Neue Zone.
  5. Der Assistent zum Erstellen neuer Zonen wird gestartet. Klicken Sie auf Weiter, um den Vorgang fortzusetzen.
  6. Klicken Sie auf den entsprechenden Zonentyp (entweder Active Directory - integrierte Zone oder primäre Standardzone).
  7. Klicken Sie auf Weiter.
  8. Geben Sie den Namen der Zone exakt so ein, wie er unter Netzwerkidentifikation aufgeführt ist. Klicken Sie auf Weiter.
  9. Klicken Sie auf die entsprechende Zonendatei oder auf eine neue Zonendatei. Klicken Sie auf Weiter und dann auf Fertigstellen, um den Assistenten zum Erstellen neuer Zonen zu beenden. Die neu erstellte Zone erscheint jetzt in der DNS-Management-Konsole.
  10. Geben Sie in einer Eingabeaufforderung net stop netlogon ein und drücken Sie dann die Eingabetaste. Der Anmeldedienst Netlogon wird gestoppt.
  11. Geben Sie net start netlogon ein und drücken Sie dann die Eingabetaste. Der Anmeldedienst Netlogon wird neu gestartet.
  12. Aktualisieren Sie die Ansicht in der DNS-Management-Konsole. Die Active Directory-DNS-Einträge müssten jetzt unter der Zone aufgelistet sein.

Falls die Active Directory-DNS-Einträge immer noch nicht vorhanden sind, liegt dies vielleicht an einem nicht korrekt verbundenen DNS-Namespace. Falls Sie den Verdacht haben, dass dies der Fall sein könnte, lesen Sie bitte den Abschnitt Nicht verbundener DNS-Namespace in diesem Artikel.

Dynamische Zonenaktualisierungen:
Microsoft empfiehlt, dass die DNS-Lookupzone dynamische Aktualisierungen akzeptiert. Sie können dynamische Aktualisierungen wie folgt ermöglichen:
  1. Klicken Sie mit der rechten Maustaste auf den Namen der Zone und klicken Sie dann auf Eigenschaften.
  2. In der Registerkarte Allgemein sollte die Einstellung für Aktualisierungen zulassen Ja lauten
  3. Für eine Active Directory-integrierte Zone sollten Sie die Option Ja oder die Option nur gesicherte Aktualisierungen wählen. Wenn dynamische Aktualisierungen nicht zulässig sind, muss die gesamte Hostregistrierung manuell durchgeführt werden.

DNS-Weiterleitungen:
Um die Netzwerkfunktionalität auch außerhalb der Active Directory-Domäne zu gewährleisten (etwa bei Browseranfragen nach Internetadressen), konfigurieren Sie den DNS-Server bitte so, dass DNS-Abfragen an den entsprechenden Internetdienstanbieter (ISP) oder andere DNS-Server der Organisation weitergeleitet werden. Führen Sie bitte die folgende Schritte aus, um eine solche Weiterleitung für den DNS-Server zu konfigurieren:

  1. Starten Sie die DNS-Management-Konsole.
  2. Klicken Sie mit der rechten Maustaste auf den Namen des Servers und klicken Sie dann auf Eigenschaften.
  3. Klicken Sie auf die Registerkarte Weiterleitungen.
  4. Aktivieren Sie das Kontrollkästchen Weiterleitung aktivieren

[*]Hinweis:
Falls das Kontrollkästchen Weiterleitung aktivieren nicht verfügbar ist, versucht der DNS-Server, als Host für eine Stammzone zu fungieren (der Name einer solchen Zone besteht in der Regel nur aus einem Punkt .). Sie müssen diese Zone löschen, damit der DNS-Server DNS-Abfragen weiterleiten kann. In einer Konfiguration, bei der der DNS-Server nicht auf den DNS-Server eines Internetdienstanbieters oder einen anderen DNS-Server angewiesen ist, können Sie eine Stammzone verwenden.
[*]Geben Sie die IP-Adressen für die DNS-Server ein, die weitergeleitete Abfragen von diesem DNS-Server entgegen nehmen sollen. Die Liste wird von oben nach unten verarbeitet; falls Sie einen bestimmten DNS-Server bevorzugen, setzen Sie diesen bitte an die oberste Position der Liste.
[*]Klicken Sie auf OK, um die Änderungen zu bestätigen.[/list]

Netzwerkkonfiguration:
Sie müssen bestimmte Netzwerkkomponenten korrekt konfigurieren, um die einwandfreie Funktion von Active Directory im Netzwerk zu gewährleisten und sicherzustellen, dass Computer sich der Domäne anschließen können.

Die Datei- und Druckerfreigabe muss aktiviert sein:
Falls die Datei- und Druckerfreigabe auf dem Windows 2000-Domänencontroller deaktiviert ist, werden bei Versuchen, sich der Domäne anzuschließen, Fehlermeldungen angezeigt.

Beachten Sie bitte, dass es Situationen gibt, in denen es vorzuziehen ist, die Datei- und Druckerfreigabe auf einem Windows 2000-Computer zu deaktivieren. Dies ist zum Beispiel der Fall, wenn über das Internet auf einen Windows 2000-Computer zugegriffen werden kann. In dieser Situation sollten Sie die Datei- und Druckerfreigabe nur auf der Netzwerkkarte deaktivieren, auf die über das Internet zugegriffen werden kann.

Die Funktion NetBIOS über TCP/IP muss für andere Clients aktiviert sein:
Falls Clients, auf denen Windows 2000 nicht ausgeführt wird (zum Beispiel Clients mit Microsoft Windows 95, Microsoft Windows 98 oder Microsoft Windows NT), zu der Active Directory-Domäne gehören, müssen auch diese die NetBIOS-Namensauflösung durchführen können. Die NetBIOS-Namensauflösung funktioniert nicht, wenn die Funktion NetBIOS über TCP/IP deaktiviert ist.

Aktualisierung der Installation:
Früherer (alter) DNS-Server:
DNS-Server, die mit Windows NT 4.0 arbeiten, können die Active Directory-DNS-Einträge nicht dynamisch registrieren. Die beste Lösung besteht in diesem Fall darin, DNS auf dem Active Directory-Domänencontroller zu installieren, um zu gewährleisten, dass die Active Directory-DNS-Einträge für die Domäne registriert werden.

Nicht verbundener DNS-Namespace:
Sie müssen die richtigen DNS-Suffixinformationen konfigurieren, bevor Sie mit der Aktualisierung auf Windows 2000 beginnen. Sie können den Servernamen und die DNS-Domäneninformationen nicht mehr ändern, nachdem Active Directory installiert ist.

Um die DNS-Suffixinformationen in Windows NT zu konfigurieren, bevor Sie den Computer zu einem Active Directory-Domänencontroller auf Windows 2000-Basis aktualisieren, führen Sie bitte die folgenden Schritte aus:

  1. Klicken Sie mit der rechten Maustaste auf Netzwerkumgebung und klicken Sie dann auf Eigenschaften.
  2. Klicken Sie auf die Registerkarte Protokolle, klicken Sie auf TCP/IP-Protokoll und dann auf Eigenschaften.
  3. Klicken Sie auf die Registerkarte DNS.
  4. In das Feld Domäne geben Sie bitte den vollständigen Namen der Active Directory-Domäne ein.
  5. Klicken Sie auf Übernehmen und dann auf OK.
  6. Klicken Sie auf OK, um das Hilfsprogramm Netzwerk zu beenden.
  7. Starten Sie den Computer neu.
  8. Um die Einstellungen zu überprüfen, öffnen Sie ein Befehlsfenster und geben Sie dort ipconfig /all ein. In der Zeile Hostname wird der vollqualifizierte Domänenname angezeigt.

Falls Sie die DNS-Domäneninformationen ändern müssen, nachdem Sie Active Directory installiert haben, müssen Sie das Dienstprogramm Dcpromo auf dem Computer ausführen, um ihn aus der Domäne zu lösen und zu einem eigenständigen Server zu machen.

Um zu ermitteln, ob ein nicht verbundener Namespace auf einem Windows 2000-Domänencontroller existiert, führen Sie bitte die folgenden Schritte aus:

  1. Klicken Sie mit der rechten Maustaste auf Arbeitsplatz und klicken Sie dann auf Eigenschaften.
  2. Klicken Sie auf die Registerkarte Netzwerkidentifikation.
  3. Vergleichen Sie den auf das DNS-Suffix entfallenden Teil des vollständigen Computernamens mit dem aufgelisteten Domänennamen. Der vollständige Computername lautet wie folgt: <Hostname>.<DNS-Suffix>. Die Suffixinformationen müssen bei den beiden verglichenen Einträgen identisch sein.

Enthalten diese beiden Einträge keine identischen Suffixinformationen, existiert ein nicht verbundener DNS-Namespace. In diesem Fall ist die ordnungsgemäße Registrierung von Active Directory-DNS-Einträgen nicht möglich.

Hinweis:
Die einzige unterstützte Methode zur Problembehandlung in einem solchen Fall besteht darin, den Computer mit Dcpromo aus der Domäne zu lösen und zu einem eigenständigen Server zu machen. Sie können dann die DNS-Namespaceinformationen korrigieren und Dcpromo erneut ausführen, um den Computer wieder zum Domänencontroller heraufzustufen.

Warnung:
Lassen Sie Vorsicht walten, wenn Sie feststellen, dass dieser Prozess in einer Windows 2000-Domäne erforderlich ist. Das Verfahren, den Computer mit Dcpromo aus der Domäne zu lösen und dann eine Active Directory-Domäne neu zu erstellen, führt zu einem totalen Verlust aller Informationen zu Computer- und Benutzerkonten für die Domäne. Nachdem Sie dieses Verfahren angewendet haben, müssen Sie alle Informationen zu Computer- und Benutzerkonten manuell neu erstellen.

Die WinTipps 2001  -  Ein Service von   TL Networks