SO WIRD'S GEMACHT: Mithilfe von "DNSLint" Probleme bei der Active Directory-Replikation beheben

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 321046 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel wurde zuvor veröffentlicht unter D321046
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
321046 HOW TO: Use DNSLint to Troubleshoot Active Directory Replication Issues
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Dieser Artikel beschreibt, wie Sie mithilfe des Dienstprogramms "DNSLint" Probleme mit der Active Directory-Replikation beheben können.

Das so genannte "Active Directory" ist eine verteilte Datenbank. Active Directory wird eingesetzt, um Informationen zu Objekten in einem Netzwerk zu speichern und Benutzern den Zugriff auf diese Informationen zu ermöglichen. Die Active Directory-Replikation dient dazu, Replikate von Partitionen, die auf verschiedene Domänencontroller in einer Active Directory-Struktur verteilt sind, zu synchronisieren. Dank dieses Replikationsprozesses haben Benutzer die Möglichkeit, von allen Punkten des Netzwerks aus auf Informationen zuzugreifen. Wenn dieser Replikationsprozess nicht wie vorgesehen funktioniert, werden Benutzer eventuell mit einer Unterbrechung der Dienste, die von Informationen aus dem Active Directory abhängig sind, konfrontiert. Dies gilt zum Beispiel für die Domänenanmeldung und den Zugriff auf Netzwerkressourcen (z. B. Dateien und Drucker).

Die Active Directory-Replikation benötigt DNS (DNS = Domain Name System), um bei Bedarf Namen zu IP-Adressen aufzulösen. Ein Active Directory-Domänencontroller registriert normalerweise diverse DNS-Datensätze bei seinem DNS-Server, wenn sein Netzanmeldedienst gestartet wird. "DNSLint" ist ein Microsoft Windows-Dienstprogramm, das unter den Betriebssystemen Windows 2000 und später ausgeführt werden kann. Neben anderen Einsatzmöglichkeiten kann es auch zur Behandlung von Problemen bei der Active Directory-Replikation dienen. Sie können mit diesem Dienstprogramm insbesondere die folgenden zwei Faktoren überprüfen:
  • Ob alle DNS-Server, die als autorisierend für den Stamm der Active Directory-Struktur angesehen werden, tatsächlich über die DNS-Datensätze verfügen, die benötigt werden, um die Partitionsreplikate auf den verschiedenen Domänencontrollern in einer Active Directory-Struktur erfolgreich zu synchronisieren. "DNSLint" ermittelt, welche DNS-Datensätze auf den einzelnen autorisierenden DNS-Servern fehlen.
  • Ob ein bestimmter Active Directory-Domänencontroller alle benötigten DNS-Datensätze auflösen kann, um Replikate von Partitionen erfolgreich zu synchronisieren, die auf verschiedene Domänencontroller in einer Active Directory-Struktur verteilt sind. "DNSLint" ermittelt die DNS-Datensätze, die von dem getesteten Domänencontroller nicht aufgelöst werden können.

Problembehandlung

Falls ein Active Directory-Domänencontroller eine Replikation mit einem anderen Domänencontroller durchführen möchte, setzt er DNS ein, um andere Domänencontroller zu finden. Dieser Prozess läuft wie folgt ab:
  1. Der Domänencontroller, der die Replikation initiiert (DC1), fragt das Active Directory ab, um die für ihn konfigurierten Replikationspartner zu finden. Diese Replikationspartner werden in der Regel durch die Konsistenzprüfung (Knowledge Consistency Checker, KCC) definiert, können aber auch manuell festgelegt werden. Weitere Informationen finden Sie in folgendem Artikel der Microsoft Knowledge Base:
    244368 How to Optimize Active Directory Replication in a Large Network
    DC1 ist nur der Name des Domänencontrollers bekannt, mit dem er eine Replikation durchführen will (DC2). Im Active Directory findet er eine GUID, die zu dem Namen des Zieldomänencontrollers (DC2) passt. Beachten Sie in diesem Zusammenhang, dass jeder Domänencontroller in der Struktur eine eindeutige GUID haben sollte.
  2. Jetzt, da DC1 die GUID von DC2 kennt, muss er die IP-Adresse von DC2 finden, um über das Netzwerk eine Verbindung zu diesem herzustellen. Hierzu setzt DC1 DNS ein. DC1 sendet eine rekursive DNS-Abfrage an seinen lokal konfigurierten DNS-Server, um einen CNAME-Datensatz abzufragen. Dieser Datensatz weist immer das folgende Format auf:
    GUID ._msdcs. Stamm der Active Directory-Struktur
    Dabei steht GUID für die GUID, die DC1 im Active Directory gefunden hat, und Stamm der Active Directory-Struktur für den Stamm der jeweiligen Active Directory-Struktur. Beispiel:
    91f9b084-4876-4b59-be17-59e74c340221._msdcs.reskit.com
    Dabei ist "91f9b084-4876-4b59-be17-59e74c340221" eine GUID und "reskit.com" der Stamm der Active Directory-Struktur.

    Der lokal konfigurierte DNS-Server von DC1 müsste auf die Abfrage nach CNAME mit einem Aliasnamen antworten. Bei diesem Aliasnamen handelt es sich um einen anderen Namen für die GUID. So wird beispielsweise die GUID 91f9b084-4876-4b59-be17-59e74c340221 aufgelöst zu "dc-02.reskit.com".
  3. Jetzt, da DC1 den Aliasnamen für die GUID kennt, muss er den Aliasnamen zu einer IP-Adresse auflösen, um über das Netzwerk eine Verbindung zu DC2 herzustellen. DC1 sendet eine rekursive DNS-Abfrage an seinen lokal konfigurierten DNS-Server, um einen Datensatz des Typs "Host (A)" zu ermitteln, der zu dem Aliasnamen passt. Der DNS-Server sollte jetzt mit der IP-Adresse antworten, die dem Aliasnamen zugeordnet ist - zum Beispiel 169.254.66.7
  4. Da DC1 jetzt die IP-Adresse von DC2 kennt, kann er über das Netzwerk eine Verbindung zu DC2 herstellen und Active Directory-Daten replizieren.
Ist dieser Vorgang nicht erfolgreich, schlägt auch die Active Directory-Replikation zwischen den Domänencontrollern fehl, was zu einer Inkonsistenz der Daten auf den verschiedenen Domänencontrollern führen kann. "DNSLint" kann Ihnen jetzt dabei helfen, festzustellen, ob sich die bei diesem Prozess verwendeten DNS-Datensätze am richtigen Speicherort befinden und aufgelöst werden können.
  1. Führen Sie den folgenden Befehl aus, um zu ermitteln, ob DNS ein Active Directory-Replikationsproblem zwischen den Domänencontrollern in einer Active Directory-Struktur verursacht:
    dnslint /ad 169.254.32.1 /s 169.254.10.22
    Dabei gibt der Parameter /ad einen Active Directory-Domänencontroller an, mit dem die GUIDs für alle Domänencontroller in der Active Directory-Struktur gefunden werden können. Standardmäßig müssten alle Domänencontroller in einer Struktur über die dafür erforderlichen Informationen verfügen. Die Option /s ist bei Verwendung der Funktion /ad obligatorisch. Die Option /s wird eingesetzt, um "DNSLint" die IP-Adresse eines DNS-Servers mitzuteilen, der für die Zone _msdcs. Strukturstamm autorisierend ist.

    Wenn Sie diesen Befehl ausführen, kontaktiert "DNSLint" zuerst den Active Directory-Domänencontroller, der nach der Befehlszeilenoption /ad angegeben ist (169.254.32.1). Durch diesen Befehl wird "DNSLint" veranlasst, das Active Directory auf diesem Domänencontroller nach allen GUIDs in der Active Directory-Struktur abzufragen. Dabei wird insbesondere der folgende Speicherort im Active Directory abgefragt:
    CN=NTDS Settings, CN=Sites,CN=Configuration,DC=reskit,DC=com
    Dabei steht "DC=reskit,DC=com" für den Stamm der Active Directory-Struktur.

    Dieser Typ von LDAP-Abfrage (LDAP = Lightweight Directory Access Protocol) erfordert eine Authentifizierung gegenüber dem Active Directory. Typischerweise wird "DNSLint" im Sicherheitskontext des Benutzers ausgeführt, der den besagten Befehl ausgeführt hat. Die Anmeldeinformationen dieses Benutzers werden verwendet, um während des LDAP-Bindungsvorgangs die Authentifizierung gegenüber dem Active Directory auszuführen. Sind diese Anmeldeinformationen gültig und hat der Benutzer eine Zugriffsberechtigung für die betreffenden Informationen im Active Directory, ist der Bindungsvorgang erfolgreich und das Active Directory wird nach den GUIDs durchsucht. Ist der Bindungsvorgang nicht erfolgreich, wird diese Suche nicht ausgeführt, was zu einem Fehlschlagen der gesamten Operation führt. In diesen Fällen zeigt "DNSLint" dem Benutzer eine entsprechende Fehlermeldung an.

    Falls durch den angegebenen Domänencontroller eine GUID-Liste zurückgemeldet wird, sendet "DNSLint" eine DNS-Abfrage an den DNS-Server, der durch die Option /s bestimmt wurde. In dem vorstehend genannten Beispiel würden DNS-Abfragen an den DNS-Server 169.254.10.22 gesendet. Falls dieser DNS-Server für _msdcs. Stamm der Active Directory-Struktur nicht autorisierend sein sollte, kann die Operation damit enden, dass für die zuvor gefundenen GUIDs keinerlei DNS-Datensätze gefunden werden. Mit der Option /s muss die IP-Adresse eines DNS-Servers angegeben werden, der für die untergeordnete Domäne _msdcs. Stamm der Active Directory-Struktur autorisierend ist.

    In manchen Umgebungen, zum Beispiel in solchen, in denen ein DNS-Server als Host für die Stammzone fungiert, der keine dynamischen Aktualisierungen zulässt, wurde die Zone _msdcs an einen DNS-Server delegiert, der für den Stamm der Active Directory-Struktur nicht autorisierend ist. "DNSLint" prüft, ob eine solche Delegierung erfolgt ist, bevor es die nächsten DNS-Abfragen ausführt. Durch diesen Schritt wird vermieden, dass DNS-Abfragen an DNS-Server gesendet werden, die nicht getestet werden sollten.

    Bei der Verarbeitung von DNS-Abfragen versucht "DNSLint", andere DNS-Server zu ermitteln, die für den Stamm der Active Directory-Struktur autorisierend sind. Nachdem "DNSLint" DNS-Server gefunden hat, die für den Stamm der Active Directory-Struktur autorisierend sind, fragt es den oder die DNS-Server nach CNAME-Datensätzen ab, die es im Active Directory findet. Bei der Auflösung der einzelnen CNAME-Datensätze zu Aliasnamen versucht "DNSLint" außerdem, den Bindungsdatensatz (A) für jeden Aliasnamen aufzulösen. Wie zuvor in diesem Artikel bereits erwähnt, sind diese DNS-Datensätze für die Active Directory-Replikation erforderlich.

    Dann erstellt "DNSLint" einen Bericht im HTML-Format (und optional einen Bericht im Textformat). Dieser Bericht beinhaltet alle im Active Directory gefundenen GUIDs, die für den Stamm der Active Directory-Struktur autorisierenden DNS-Server und die Ergebnisse aller Abfragen nach CNAME-Datensätzen und (A)-Bindungsdatensätzen, die an diese Server gerichtet worden sind. In diesem Bericht wird gemeldet, welche CNAME-Datensätze und (A)-Bindungsdatensätze auf den verschiedenen DNS-Servern fehlten. Diesen Bericht können Sie einsetzen, um DNS-Probleme zu beheben, die Probleme bei der Active Directory-Replikation verursachen könnten (z. B. fehlende oder fehlerhafte DNS-Datensätze).
  2. Sie können ermitteln, ob ein bestimmter Active Directory-Domänencontroller alle benötigten DNS-Datensätze auflösen kann, um Replikate von Partitionen erfolgreich zu synchronisieren, die auf verschiedene Domänencontroller in einer Active Directory-Struktur verteilt sind, indem Sie den folgenden Befehl auf dem zu testenden Domänencontroller ausführen:
    dnslint /ad /s localhost
    Da nach der Option /ad keine IP-Adresse angegeben ist, wird 127.0.0.1 verwendet. Das bedeutet, dass der Domänencontroller die Abfrage nach der Liste der GUID-Datensätze an sich selbst richtet. Wenn Sie möchten, können Sie einen alternativen Domänencontroller-LDAP-Server angeben. Wenn Sie localhost nach der Option /s angeben, wird "DNSLint" dadurch angewiesen, den oder die auf dem zu testenden Domänencontroller konfigurierten DNS-Server dazu zu verwenden, die CNAME-Datensätze und (A)-Bindungsdatensätze aufzulösen, die bei der Active Directory-Replikation verwendet werden. Bei dieser Angabe werden rekursive DNS-Abfragen an den oder die lokal konfigurierten DNS-Server des Domänencontrollers gesendet, um zu ermitteln, ob der Domänencontroller die benötigten Datensätze auflösen kann. Das bedeutet nicht, dass alle DNS-Server des lokalen Domänencontrollers auf das Vorhandensein dieser Datensätze überprüft werden. Die Liste der DNS-Server für den Domänencontroller wird auf der Basis des für ihn festgelegten Standardverhaltens verwaltet. Das bedeutet, dass der zweite DNS-Server in der Liste nur dann eingesetzt wird, wenn der erste nicht antwortet. Bei diesem Test wird nur festgestellt, ob ein Domänencontroller die DNS-Datensätze auflösen kann, die bei der Active Directory-Replikation verwendet werden. Es wird kein bestimmter DNS-Server getestet.

    Der von "DNSLint" erstellte Bericht kann dann eingesetzt werden, um DNS-Probleme zu beheben, die Probleme bei der Active Directory-Replikation verursachen könnten (z. B. fehlende oder fehlerhafte DNS-Datensätze).

Die folgende Datei steht im Microsoft Download Center zum Download zur Verfügung:

Das Paket dnslint.v204.exe jetzt herunterladen

Weitere Informationen zum Dienstprogramm "DNSLint" finden Sie in folgendem Artikel der Microsoft Knowledge Base:
321045 Beschreibung des Dienstprogramms "DNSLint"

Eigenschaften

Artikel-ID: 321046 - Geändert am: Montag, 3. Dezember 2007 - Version: 8.5
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Server
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Keywords: 
kbhowtomaster kbdownload kbnetwork KB321046
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com