Behandeln von Problemen mit Domänencontrollerstandorten in Windows
Dieser Artikel hilft bei der Behandlung von Problemen mit Domänencontrollerstandorten in Windows.
Domänencontroller(DC)-Speicherort, auch als DC Locator bezeichnet, bezieht sich auf den Algorithmus, den der Clientcomputer verwendet, um einen geeigneten Domänencontroller zu finden. DC Locator ist eine wichtige Basisfunktionalität in allen Unternehmensumgebungen. Weitere Informationen dazu, wie sich Domänencontroller in Windows befinden, finden Sie unter Suchen von Domänencontrollern in Windows und Windows Server.
Wenn DC Locator in Active Directory-Domänen nicht wie erwartet funktioniert, beheben Sie Probleme mithilfe der folgenden Schritte:
Notiz
Die Authentifizierung ist der erste Schritt in fast allen funktionalen Szenarien in einer Active Directory-Unternehmensumgebung. Die Authentifizierung erfolgt jedoch, nachdem der Client mit einem Active Directory-Domänencontroller kommuniziert.
Überprüfen Sie die Systemprotokolle (z. B. die Ereignisquelle ist NETLOGON) sowohl auf dem Client als auch auf dem Server. Überprüfen Sie auch die Verzeichnisdienstprotokolle (z. B. die Ereignisquelle ist NTDS KCC) auf dem Server und DNS-Protokollen (Domain Name System) auf dem DNS-Server.
Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten, und überprüfen Sie die IP-Konfiguration, indem Sie den folgenden Befehl ausführen:
ipconfig /all
Verwenden Sie das Ping-Hilfsprogramm, um die Netzwerkkonnektivität und die Namensauflösung zu überprüfen. Pingen Sie die IP-Adresse, den Servernamen und den Domänennamen.
Verwenden Sie das PortQryUI-Tool , um die Verfügbarkeit wichtiger Domänencontrollerdienste zu prüfen. Wenn Sie das Tool starten, geben Sie den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) des Domänencontrollers an, und fragen Sie den Domänen- und Vertrauensstellungssatz von Diensten wie folgt ab:
Der Screenshot zeigt einen wichtigen Port für die DC-Ermittlung, die UDP/389 ist und in diesem Fall erfolgreich ist.
Notiz
UDP/389: Dieser Port ist erforderlich, um AD-Dienste zu ermitteln.
Verwenden Sie das
nslookup
Tool, um zu überprüfen, ob DNS-Einträge korrekt in DNS registriert sind. Stellen Sie sicher, dass die Serverhosteinträge und die GUID-SRV-Einträge (Globally Unique Identifier) aufgelöst werden können.Führen Sie zum Überprüfen von Datensatzregistrierungen beispielsweise die folgenden Befehle aus:
nslookup servername.childofrootdomain.rootdomain.com
nslookup guid._msdcs.rootdomain.com
Wenn einer dieser Befehle nicht erfolgreich ist, verwenden Sie eine der folgenden Methoden, um Einträge mit DNS neu zu registrieren:
- Verwenden Sie den
ipconfig /registerdns
Befehl, um die Registrierung des Hostdatensatzes zu erzwingen. - Um die Registrierung des Domänencontrollerdiensts zu erzwingen, beenden Sie den Netlogon-Dienst, und starten Sie den Netlogon-Dienst neu.
- Um Domänencontrollerprobleme zu erkennen, führen Sie das DCdiag-Hilfsprogramm über eine Eingabeaufforderung aus. Das Hilfsprogramm führt viele Tests aus, um sicherzustellen, dass ein Domänencontroller ordnungsgemäß ausgeführt wird. Verwenden Sie den
dcdiag /v >dcdiag.txt
Befehl, um die Ergebnisse an eine Textdatei zu senden.
- Verwenden Sie den
Verwenden Sie das Ldp.exe Tool, um eine Verbindung mit dem Domänencontroller herzustellen und eine Bindung an den Domänencontroller herzustellen, um die entsprechende LDAP-Konnektivität (Lightweight Directory Access Protocol) zu überprüfen.
Wenn Sie vermuten, dass ein bestimmter Domänencontroller Probleme hat, aktivieren Sie die Netlogon-Debugprotokollierung. Verwenden Sie das Nltest-Tool, indem Sie den
nltest /dbflag:0x2000ffff
Befehl ausführen. Die Informationen werden dann in der datei Netlogon.log unter dem Ordner %windir%\Debug protokolliert.Wenn Sie das Problem noch nicht isoliert haben, verwenden Sie Netzwerkmonitortools wie Wireshark, um den Netzwerkdatenverkehr zwischen dem Client und dem Domänencontroller zu erfassen und zu analysieren.