So befinden sich Domänencontroller in Windows

In diesem Artikel wird der Von Windows verwendete Mechanismus zum Suchen eines Domänencontrollers in einer Windows-basierten Domäne beschrieben.

Gilt für: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Ursprüngliche KB-Nummer: 247811

Zusammenfassung

In diesem Artikel wird der Prozess der Suche nach einer Domäne anhand ihres DNS-Namens und ihres flachen Namens (NetBIOS) beschrieben. Der flache Name wird aus Gründen der Abwärtskompatibilität verwendet. In allen anderen Fällen sollten Namen im DNS-Format als Richtlinien verwendet werden. In diesem Artikel wird auch die Problembehandlung des Domänencontrollerstandortprozesses behandelt.

So findet der Locator einen Domänencontroller

In dieser Sequenz wird beschrieben, wie der Locator einen Domänencontroller findet:

• Auf dem Client (dem Computer, auf dem der Domänencontroller sucht) wird der Locator als Remoteprozeduraufruf (RPC) an den lokalen Netlogon-Dienst gestartet. Der Api-Aufruf der DsGetDcName-Anwendung (Application Programming Interface) des Locators wird vom Netlogon-Dienst implementiert.

• Der Client sammelt die Informationen, die zum Auswählen eines Domänencontrollers erforderlich sind. Anschließend werden die Informationen mithilfe des DsGetDcName-Aufrufs an den Netlogon-Dienst übergeben.

• Der Netlogon-Dienst auf dem Client verwendet die gesammelten Informationen, um einen Domänencontroller für die angegebene Domäne auf eine von zwei Arten zu suchen:

  • Für einen DNS-Namen fragt Netlogon DNS mithilfe des IP/DNS-kompatiblen Locators ab. Das heißt, DsGetDcName ruft den DnsQuery-Aufruf auf, um die SRV-Einträge (Service Resource) und "A"-Einträge aus DNS zu lesen, nachdem der Domänenname an die entsprechende Zeichenfolge angefügt wurde, die die SRV-Einträge angibt.

  • Eine Arbeitsstation, die sich bei einer Windows-basierten Domäne anmeldet, fragt DNS nach SRV-Einträgen im allgemeinen Format ab:

    _service._protocol.DnsDomainName
    

    Active Directory-Server bieten den LDAP-Dienst (Lightweight Directory Access Protocol) über das TCP-Protokoll an. Clients finden also einen LDAP-Server, indem sie DNS nach einem Datensatz in der folgenden Form abfragen:

    _ldap._tcp. DnsDomainName

• Für einen NetBIOS-Namen führt Netlogon die Domänencontrollerermittlung mithilfe des Mit Microsoft Windows NT Version 4.0 kompatiblen Locators durch. Das heißt, mithilfe des transportspezifischen Mechanismus, z. B. WINS.

  In Windows NT 4.0 und früheren Versionen ist "Ermittlung" ein Prozess zum Suchen eines Domänencontrollers für die Authentifizierung in der primären domäne oder in einer vertrauenswürdigen Domäne.

• Der Netlogon-Dienst sendet ein Datagramm an die Computer, die den Namen registriert haben. Für NetBIOS-Domänennamen wird das Datagramm als Maillot-Nachricht implementiert. Für DNS-Domänennamen wird das Datagramm als UDP-Suche (LDAP User Datagram Protocol) implementiert. (UDP ist das verbindungslose Datagrammtransportprotokoll, das Teil der TCP/IP-Protokollsuite ist. TCP ist ein verbindungsorientiertes Transportprotokoll.)

• Jeder verfügbare Domänencontroller reagiert auf das Datagramm, um anzugeben, dass es derzeit betriebsbereit ist, und gibt die Informationen an DsGetDcName zurück.

UDP ermöglicht es einem Programm auf einem Computer, ein Datagramm an ein Programm auf einem anderen Computer zu senden. UDP enthält eine Protokollportnummer, die es dem Absender ermöglicht, zwischen mehreren Zielen (Programmen) auf dem Remotecomputer zu unterscheiden.

• Jeder verfügbare Domänencontroller reagiert auf das Datagramm, um anzugeben, dass es derzeit betriebsbereit ist, und gibt die Informationen an DsGetDcName zurück.
• Der Netlogon-Dienst speichert die Domänencontrollerinformationen zwischen, sodass spätere Anforderungen den Ermittlungsprozess nicht wiederholen müssen. Das Zwischenspeichern dieser Informationen fördert die konsistente Verwendung desselben Domänencontrollers und eine konsistente Ansicht von Active Directory.

Wenn sich ein Client beim Netzwerk anmeldet oder dem Netzwerk beitritt, muss er in der Lage sein, einen Domänencontroller zu finden. Der Client sendet eine DNS-Lookup-Abfrage an DNS, um Domänencontroller zu finden, vorzugsweise im eigenen Subnetz des Clients. Clients finden also einen Domänencontroller, indem sie DNS nach einem Datensatz in der folgenden Form abfragen:

_LDAP._TCP.dc._msdcs.domainname

Nachdem der Client einen Domänencontroller gefunden hat, stellt er die Kommunikation mithilfe von LDAP her, um Zugriff auf Active Directory zu erhalten. Im Rahmen dieser Aushandlung identifiziert der Domänencontroller basierend auf dem IP-Subnetz dieses Clients, an welchem Standort sich der Client befindet.

Wenn der Client mit einem Domänencontroller kommuniziert, der sich nicht am nächstgelegenen (optimalsten) Standort befindet, gibt der Domänencontroller den Namen des Standorts des Clients zurück. Wenn der Client bereits versucht hat, Domänencontroller an diesem Standort zu finden, verwendet der Client den nicht optimalen Domänencontroller. Beispielsweise sendet der Client eine DNS-Lookup-Abfrage an DNS, um Domänencontroller im Subnetz des Clients zu finden.

Andernfalls führt der Client erneut eine standortspezifische DNS-Suche mit dem neuen optimalen Standortnamen durch. Der Domänencontroller verwendet einige der Verzeichnisdienstinformationen zum Identifizieren von Standorten und Subnetzen.

Nachdem der Client einen Domänencontroller gefunden hat, wird der Domänencontrollereintrag zwischengespeichert. Wenn sich der Domänencontroller nicht am optimalen Standort befindet, löscht der Client den Cache nach 15 Minuten und verwirft den Cacheeintrag. Anschließend wird versucht, einen optimalen Domänencontroller am selben Standort wie der Client zu finden.

Nachdem der Client einen Kommunikationspfad zum Domänencontroller eingerichtet hat, kann er die Anmelde- und Authentifizierungsanmeldeinformationen einrichten. Bei Bedarf für Windows-basierte Computer kann ein sicherer Kanal eingerichtet werden. Der Client ist dann bereit, normale Abfragen auszuführen und nach Informationen für das Verzeichnis zu suchen.

Der Client stellt eine LDAP-Verbindung mit einem Domänencontroller für die Anmeldung her. Der Anmeldeprozess verwendet den Sicherheitskonten-Manager. Der Kommunikationspfad verwendet die LDAP-Schnittstelle, und der Client wird von einem Domänencontroller authentifiziert. Daher wird das Clientkonto überprüft und über Security Accounts Manager an den Verzeichnisdienst-Agent, dann an die Datenbankebene und schließlich an die Datenbank in der Extensible Storage Engine (ESE) übergeben.

Problembehandlung beim Domänenlocatorprozess

So beheben Sie Probleme mit dem Domänenlocatorprozess:

1. Überprüfen Sie Ereignisanzeige sowohl auf dem Client als auch auf dem Server. Die Ereignisprotokolle können Fehlermeldungen enthalten, die darauf hinweisen, dass ein Problem vorliegt. Um Ereignisanzeige anzuzeigen, wählen Sie Start aus, zeigen Sie auf Programme>Verwaltungstools, und wählen Sie dann Ereignisanzeige aus. Überprüfen Sie das Systemprotokoll sowohl auf dem Client als auch auf dem Server. Überprüfen Sie auch die Verzeichnisdienstprotokolle auf dem Server und die DNS-Protokolle auf dem DNS-Server.

2. Überprüfen Sie die IP-Konfiguration mithilfe des ipconfig /all Befehls an einer Eingabeaufforderung.

3. Verwenden Sie das Hilfsprogramm Ping, um die Netzwerkkonnektivität und namensauflösung zu überprüfen. Pingen Sie sowohl die IP-Adresse als auch den Servernamen. Sie können auch den Domänennamen pingen.

4. Verwenden Sie das Netdiag-Tool, um zu ermitteln, ob Netzwerkkomponenten ordnungsgemäß funktionieren. Verwenden Sie den folgenden Befehl, um eine detaillierte Ausgabe an eine Textdatei zu senden:

   netdiag /v >test.txt
   Überprüfen Sie die Protokolldatei, suchen Sie nach Problemen, und untersuchen Sie alle implizierten Komponenten. Diese Datei enthält auch weitere Netzwerkkonfigurationsdetails.

5. Verwenden Sie das Tool Netdiag mit der folgenden Syntax, um kleinere Probleme zu beheben:

   netdiag /fix.

6. Verwenden Sie den nltest /dsgetdc:domainname Befehl, um zu überprüfen, ob ein Domänencontroller für eine bestimmte Domäne gefunden werden kann.

7. Verwenden Sie das NSLookup Tool, um zu überprüfen, ob DNS-Einträge ordnungsgemäß im DNS registriert sind. Vergewissern Sie sich, dass die Serverhostdatensätze und GUID-SRV-Einträge aufgelöst werden können.

   Verwenden Sie beispielsweise die folgenden Befehle, um die Datensatzregistrierung zu überprüfen:
   nslookup servername. childofrootdomain. rootdomain.com
nslookup guid._msdcs. rootdomain.com

8. Wenn einer dieser Befehle nicht erfolgreich ist, verwenden Sie eine der folgenden Methoden, um Datensätze bei DNS erneut zu registrieren:

   • Geben Sie ipconfig /registerdns ein, um die Registrierung des Hostdatensatzes zu erzwingen.
   • Um die Registrierung des Domänencontrollerdiensts zu erzwingen, beenden Und starten Sie den Netlogon-Dienst.

9. Um Domänencontrollerprobleme zu erkennen, führen Sie das Hilfsprogramm DCdiag über eine Eingabeaufforderung aus. Das Hilfsprogramm führt viele Tests aus, um zu überprüfen, ob ein Domänencontroller ordnungsgemäß ausgeführt wird. Verwenden Sie diesen Befehl, um die Ergebnisse an eine Textdatei zu senden: dcdiag /v >dcdiag.txt

10. Verwenden Sie das tool Ldp.exe, um eine Verbindung mit dem Domänencontroller herzustellen und zu binden, um die entsprechende LDAP-Konnektivität zu überprüfen.

11. Wenn Sie vermuten, dass ein bestimmter Domänencontroller Probleme hat, kann es hilfreich sein, die Netlogon-Debugprotokollierung zu aktivieren. Verwenden Sie das Hilfsprogramm NLTest, indem Sie den folgenden Befehl eingeben: nltest /dbflag:0x2000ffff. Die Informationen werden dann im Ordner Debug in der Netlogon.log-Datei protokolliert.

12. Wenn Sie das Problem immer noch nicht isoliert haben, verwenden Sie den Netzwerkmonitor, um den Netzwerkdatenverkehr zwischen dem Client und dem Domänencontroller zu überwachen.

References

Weitere Informationen finden Sie im Windows Resource Kit, Kapitel 10, "Active Directory-Diagnose, Problembehandlung und Wiederherstellung".