Finden von Domänencontrollern in Windows 2000/XP

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 247811 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel wurde zuvor veröffentlicht unter D41984
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
247811 How Domain Controllers Are Located in Windows
Alles erweitern | Alles schließen

Zusammenfassung

In diesem Artikel wird der Mechanismus beschrieben, den Windows 2000 oder Windows XP zum Finden eines Domänencontrollers in einer Windows basierten Domäne verwendet. In diesem Artikel wird der Vorgang detailliert beschrieben, wie eine Domäne über ihren DNS-Namen und über den Namen in flacher Darstellung (NetBIOS-Namen) zu finden ist. Die Namen in flacher Darstellung werden für die Abwärtskompatibilität verwendet. In allen anderen Fällen sollten grundsätzlich DNS-Namen verwendet werden. In diesem Artikel geht es auch um die Problembehandlung beim Vorgang, den Domänencontroller zu finden.

Weitere Informationen

Dieser Abschnitt beschreibt, wie der Locator einen Domänencontroller findet:
  • Auf dem Client (dem Computer, der den Domänencontroller sucht) wird der Locator als ein Remoteprozeduraufruf (Remote Procedure Call, RPC) an den lokalen Netlogon-Dienst initiiert. Der DsGetDcName-API-Aufruf (Application Programming Interface) des Locators wird vom Netlogon-Dienst implementiert.
  • Der Client sammelt die Informationen, die zum Auswählen eines Domänencontrollers erforderlich sind, und gibt die Informationen durch Verwenden des DsGetDcName-Aufrufes an den Netlogon-Dienst weiter.
  • Der Netlogon-Dienst auf dem Client verwendet die gesammelten Informationen, um auf eine der beiden folgenden Arten nach einem Domänencontroller für die angegebene Domäne zu suchen:
        - Bei einem DNS-Namen fragt Netlogon beim DNS an, indem der IP/DNS-kompatible Locator verwendet wird: DsGetDcName ruft den DnsQuery-Aufruf dazu auf, die Dienstressourceneinträge und "A"-Einträge des DNS zu lesen, nachdem der Domänenname an die entsprechende Zeichenfolge angehängt wurde, die die Dienstressourceneinträge angibt.
        - Eine Arbeitsstation, die sich an einer Windows basierten Domäne anmeldet, fragt Dienstressourceneinträge bei DNS in folgender allgemeiner Form an:
       _service._protocol.DnsDomainName
          Active Directory-Server bieten den Dienst LDAP (Lightweight Directory Access Protocol) über das TCP-Protokoll an. Daher können Clients einen LDAP-Server finden, indem sie einen Eintrag in folgender Form bei DNS abfragen:
       _ldap._tcp.DnsDomainName
        - Bei einem NetBIOS-Namen führt Netlogon eine Domänencontrollersuche durch, indem der mit Microsoft Windows NT, Version 4.0, kompatible Locator verwendet wird (d.h. durch Verwenden des transportspezifischen Mechanismus, wie z.B. WINS).
          In Windows NT 4.0 und früher ist diese Suche ein Prozess zum Suchen eines Domänencontrollers zur Authentifizierung in der primären Domäne oder einer vertrauenswürdigen Domäne.
  • Der Netlogon-Dienst sendet ein Datagramm an die Computer, die den Namen registriert haben. Bei NetBIOS-Domänennamen wird das Datagramm als Mailslotmeldung implementiert. Bei DNS-Domänennamen wird das Datagramm als LDAP-UDP-Suche (User Datagram Protocol) implementiert. (UDP ist das verbindungslose Protokoll für den Datagrammtransport, das Teil der TCP/IP-Protokollsuite ist. TCP ist ein verbindungsorientiertes Transportprotokoll.)
  • Jeder verfügbare Domänencontroller antwortet auf das Datagramm, um anzugeben, dass er zurzeit arbeitet, und gibt die Informationen an DsGetDcName zurück.
       Beachten Sie, dass UDP einem Programm auf einem Computer ermöglicht, einem Programm auf einem weiteren Computer ein Datagramm zu senden. UDP enthält eine Protokollanschlussnummer, die dem Sender ermöglicht, zwischen vielen unterschiedlichen Zielen (Programmen) auf dem entfernten Computer zu unterscheiden.
  • Jeder verfügbare Domänencontroller antwortet auf das Datagramm, um anzugeben, dass er zurzeit arbeitet, und gibt die Informationen an DsGetDcName zurück.
  • Der Netlogon-Dienst speichert die Domänencontrollerinformation zwischen, so dass nachfolgende Anfragen den Suchvorgang nicht wiederholen müssen. Das Zwischenspeichern dieser Informationen fördert das konsistente Verwenden desselben Domänencontrollers und eine konsistente Ansicht von Active Directory.
Wenn ein Client sich anmeldet oder mit dem Netzwerk verbindet, muss er einen Domänencontroller finden können. Der Client sendet eine DNS-Suchabfrage an DNS, um Domänencontroller zu finden, möglichst im eigenen Teilnetz des Clients. Daher können Clients einen Domänencontroller finden, indem sie einen Eintrag in folgender Form bei DNS abfragen:
   _LDAP._TCP.dc._msdcs.domainname
Nachdem der Client einen Domänencontroller gefunden hat, baut er durch Verwenden von LDAP die Kommunikation auf, um Zugriff auf Active Directory zu erhalten. Teil dieser Verhandlung ist, dass der Domänencontroller anhand des IP-Teilnetzes des Clients feststellt, an welchem Standort sich der Client befindet. Wenn der Client mit einem Domänencontroller kommuniziert, der sich nicht am nächsten gelegenen (optimalen) Standort befindet, gibt der Domänencontroller den Namen des Standortes des Clients zurück. Wenn der Client bereits versucht hat, Domänencontroller an diesem Standort zu finden (z.B. wenn der Client eine DNS-Suchabfrage an DNS sendet, um Domänencontroller im Teilnetz des Clients zu finden), verwendet der Client den Domänencontroller, der nicht optimal ist. Andernfalls führt der Client erneut eine standortsspezifische DNS-Suchabfrage mit dem neuen optimalen Standortnamen durch. Der Domänencontroller verwendet einige der Verzeichnisdienstinformationen zum Identifizieren von Standorten und Teilnetzen.

Nachdem der Client einen Domänencontroller gefunden hat, wird der Domänencontrollereintrag zwischengespeichert. Wenn sich der Domänencontroller nicht am optimalen Standort befindet, leert der Client den Zwischenspeicher nach fünfzehn Minuten und verwirft den Eintrag aus dem Zwischenspeicher. Danach versucht der Client, einen optimalen Domänencontroller zu finden, der sich am selben Standort wie der Client befindet.

Nachdem der Client einen Kommunikationspfad zum Domänencontroller aufgebaut hat, kann er die Anmelde- und Authentifizierungsinformationen einrichten und einen sicheren Kanal erstellen, wenn es für Windows basierte Computer erforderlich ist. Der Client ist jetzt bereit, normale Abfrage durchzuführen und im Verzeichnis nach Informationen zu suchen.

Der Client baut eine LDAP-Verbindung zu einem Domänencontroller auf, um sich anzumelden. Der Anmeldevorgang verwendet Sicherheitskontenverwaltung. Da der Kommunikationspfad die LDAP-Schnittstelle verwendet und der Client von einem Domänencontroller authentifiziert wird, wird das Clientkonto zunächst überprüft und über Sicherheitskontenverwaltung an den Verzeichnisdienstagenten, dann an die Datenbankebene und schließlich an die Datenbank in der ESE (Extensible Storage Engine) weitergegeben.

Problembehandlung beim Domänenlocatorvorgang
So beheben Sie Probleme beim Domänenlocatorvorgang:
  1. Überprüfen Sie die Ereignisanzeige auf dem Client und dem Server. Die Ereignisprotokolle enthalten möglicherweise Fehlermeldungen, die auf ein Problem hinweisen. Um die Ereignisanzeige anzuzeigen, klicken Sie auf START, zeigen Sie auf PROGRAMME, zeigen Sie auf VERWALTUNG und klicken Sie dann auf EREIGNISANZEIGE. Überprüfen Sie das Systemprotokoll auf dem Client und dem Server. Überprüfen Sie auch die Protokolle des Verzeichnisdienstes auf dem Server und die DNS-Protokolle auf dem DNS-Server.
  2. Überprüfen Sie die IP-Konfiguration durch Verwenden des Befehls "ipconfig /all" an einer Eingabeaufforderung.
  3. Verwenden Sie das Ping-Dienstprogramm, um Netzwerkfunktionalität und Namensauflösung zu überprüfen. Senden Sie ein Ping-Signal an die IP-Adresse und den Servernamen. Möglicherweise möchten Sie auch ein Ping-Signal an den Domänennamen senden.
  4. Verwenden Sie das Tool für die Netzdiagnose (Netdiag), um das korrekte Funktionieren der Netzwerkkomponenten festzustellen. Verwenden Sie folgenden Befehl, um eine detaillierte Ausgabe an eine Textdatei zu senden:
       netdiag /v >test.txt
       Überprüfen Sie die Protokolldatei, suchen Sie nach Problemen, und untersuchen Sie betroffene Komponenten. Die Datei enthält weitere Details der Netzwerkkonfiguration.
  5. Verwenden Sie das Tool für die Netzwerkdiagnose mit folgender Syntax, um kleinere Probleme zu beheben: "netdiag /fix".
  6. Verwenden Sie den Befehl "nltest /dsgetdc:<Domänenname>", um zu überprüfen, ob ein Domänencontroller für eine bestimmte Domäne gefunden werden kann.
  7. Verwenden Sie das Tool für die Name Service-Suche (NSLookup), um zu überprüfen, ob DNS-Einträge korrekt in DNS registriert sind. Überprüfen Sie, ob die Serverhosteinträge und die SRV-Einträge der GUID aufgelöst werden können.
       Verwenden Sie z.B. folgende Befehle zum Überprüfen der Eintragsregistrierung:
       nslookup <Servername>.<childofrootdomain>.<rootdomain>.com
       nslookup guid._msdcs.<rootdomain>.com
  8. Wenn einer dieser Befehle nicht funktioniert, verwenden Sie eine der folgenden Methoden, um Einträge mit DNS erneut zu registrieren:
        - Um die Registrierung von Hosteinträgen zu erzwingen, geben Sie "ipconfig /reisterdns" (ohne Anführungszeichen) ein.
        - Um die Registrierung von Domänencontrollerdiensten zu erzwingen, halten Sie den Netlogon-Dienst an, und starten Sie ihn erneut.
  9. Führen Sie das Dienstprogramm DCdiag von einer Eingabeaufforderung aus, um Probleme des Domänencontroller zu erkennen. Das Dienstprogramm führt eine Anzahl von Tests durch, um das korrekte Funktionieren des Domänencontrollers festzustellen. Verwenden Sie folgenden Befehl, um die Ergebnisse an eine Textdatei zu senden:
       dcdiag /v >dcdiag.txt
  10. Verwenden Sie das Tool Ldp.exe, und stellen Sie eine Verbindung und Bindung mit dem Domänencontroller her, um geeignete LDAP-Funktionalität zu überprüfen.
  11. Wenn Sie Probleme bei einem bestimmten Domänencontroller vermuten, ist es möglicherweise hilfreich, Netlogon-Debugprotokollierung einzuschalten. Verwenden Sie das Dienstprogramm NLTest, indem Sie folgenden Befehl eingeben: "nltest /dbflag:0x2000ffff". Die Informationen werden dann im Debugordner in der Datei Netlogon.log protokolliert.
  12. Wenn Sie das Problem noch nicht isoliert haben, verwenden Sie Netzwerkmonitor zum Überwachen des Netzwerkverkehrs zwischen Client und Domänencontroller.
Informationen zum Installieren von Netzwerkmonitor finden Sie in Artikel:
   ARTIKEL-ID: Q243270
   TITEL     : How to Install Network Monitor in Windows 2000

Verweise

Weitere Informationen finden Sie in der technischen Referenz zu Windows in Kapitel 10 über die Diagnose in Active Directory, Problembehandlung und Wiederherstellung.

Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.

Eigenschaften

Artikel-ID: 247811 - Geändert am: Dienstag, 9. November 2004 - Version: 3.1
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
Keywords: 
kbhowto kbenv KB247811
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com