Seite 3: Support-Tools, die Bordmittel

Inhaltsverzeichnis

Support-Tools, die Bordmittel

Sehr viele Werkzeuge für Windows Server 2003 oder die Verwaltung von Active Directory (AD) sind entweder weniger bekannte Bordmittel, gehören zu den nicht automatisch installierten Support Tools oder zu den Windows Resource Kit Tools. Die Support Tools stehen auf der Windows-Server-CD im Verzeichnis Support\TOOLS bereit, das Installationspaket ist auch online verfügbar. Die Werkzeuge sollten auf jedem Server präsent sein. Viele dieser Tools wie etwa adsiedit, netdiag oder replmon werfen auch ohne komplexe Kommandozeilenoptionen nützliche Informationen aus. Nach der Installation liegt die Sammlung üblicherweise im Verzeichnis C:\Programme\Windows Support Tools. Ein interessantes Beispiel ist der Dependency Walker depends. Er deckt beim Aufrufen einer exe-Datei alle verknüpften DLL-Dateien und verwendeten Ressourcen auf.

Nicht nur bei Zugriffsproblemen, sondern auch nach der Installation eines neuen Domänencontrollers sollte eine Diagnose laufen, die Fehler aufdeckt. Das wichtigste Tool dafür heißt dcdiag. Für eine erste Überprüfung reicht der einfache Aufruf auf der Kommandozeile aus, ausführliche Fehlermeldungen liefern oft nützliche Hinweise zur Fehlerbehebung. Die lange Fassung leitet man sinnvollerweise in eine Datei um: dcdiag /v >c:\dcdiag.txt. dcdiag versteht sich auch auf Kerberos. Darüber verifizieren Domänencontroller die Identität eines Benutzers und die des authentifizierenden Servers, wobei ausschließlich verschlüsselte Tickets zum Einsatz kommen. Ein wesentlicher Bestandteil ist das Schlüsselverteilungscenter (Key Distribution Center, KDC). Dieser Dienst läuft auf allen Domänencontrollern; er stellt die Tickets aus. Der zugehörige Kerberos-Client läuft auf Windows-2000-, XP- und Vista-Arbeitsstationen. Bei Problemen mit der Authentifizierung präsentieren dcdiag oder netdiag einschlägige Fehlermeldungen, die sich häufig auf fehlgeschlagene Tests bezüglich LDAP, Kerberos oder Binding äußern. Oft liegen dann Probleme mit dem Domänenkennwort des Domänencontrollers oder des Servers vor. Mit dcdiag /test:CheckSecurityError /s:<Name des Domänencontrollers grenzt man das Problem näher ein.

Netzwerk-Diagnose

Ein weiteres Werkzeug aus den Support Tools ist netdiag. Anders als dcdiag taugt es auch für Mitgliedsserver, nicht nur Domänencontroller. Mit der Option /v legt netdiag eine Logdatei in dem Verzeichnis an, wo es gestartet wurde. Gelegentlich kann es passieren, dass einzelne Einträge in der DNS-Zone von Active Directory oder sogar die ganze Zone gelöscht werden. Dann ist das AD entweder stark eingeschränkt oder gar nicht mehr funktionsfähig. Zunächst stellt man die notwendigen DNS-Einstellungen – gegebenenfalls für die ganze Zone – wieder her. Anschließend trägt man mit netdiag /fix die AD-Daten wieder in die DNS-Zone ein. Dazu greift das Tool auf eine beispielsweise mit dnscmd gesicherte Datei wie \windows\system32\config\netlogon.dns zurück, in der alle Active-Directory-Einträge hinterlegt sind.

Werfen dcdiag und netdiag Fehler bezüglich Kerberos aus, hilft es oft, das Maschinenkennwort des Domänencontrollers mit netdom zurückzusetzen. Zunächst stoppt man in den Systemdiensten den Schlüsselverteiler. Dann setzt der Aufruf von netdom resetpwd /server:<ein noch funktionierender Domänencontroller> /userd:<Administratorkonto der Domäne> /passwordd:<Kennwort dazu> das Passwort zurück. Anschließend startet man den Server neu.

Ferner erledigt netdom zahlreiche weitere Aufgaben, etwa für das Verwalten von Vertrauensstellungen. netdom trust|more gibt alle Optionen dafür aus. Beispielsweise richtet netdom trust <vertrauende Domäne> /d:<vertraute Domäne> /add /twoway eine externe bidirektionale Vertrauensstellung ein. netdom query fsmo zeigt einen Überblick über alle Betriebsmaster an. Das Tool kann nicht nur einen Server, sondern sogar Domänencontroller umbenennen, Server zu einer Domäne hinzufügen oder daraus entfernen.

Mit nltest /dclist:<NetBIOS-Domänenname> prüft man, ob ein Server die Controller seiner Domäne kennt und sich seinem AD-Standort zuweisen kann. Dabei sollten alle Domänencontroller mit ihren vollständigen Domänennamen erscheinen. Zeigt nltest einzelne Controller nur mit ihrem NetBIOS-Namen an, dann checkt man zunächst deren DNS-Registrierung auf den DNS-Servern. Jeder Domänencontroller muss sich hier automatisch registrieren.

AD-Analyse

Das Befehlszeilentool repadmin zeigt und prüft Replikationsvorgänge zwischen Domänencontrollern. Mit repadmin /showreps werden alle Replikationsvorgänge des Domänencontrollers angezeigt. Eventuell erscheinende Fehlermeldungen führen bei der Internetrecherche weiter, das Problem einzugrenzen und zu beheben.

Der zu den Windows-Support-Tools gehörende Active Directory Replication Monitor präsentiert grafisch alle notwendigen Informationen eines Active Directorys. Man ruft ihn über das Startmenü auf (Start ? Ausführen ? replmon) und verbindet das Tool über den Menüpunkt "Monitored Servers" mit einem Domänencontroller, unter "Add Monitored Server" entweder über den Server-Namen oder Durchsuchen der Gesamtstruktur. Dann prüft replmon alle Verbindungen und Domänencontroller der einzelnen Domänen. Ein Rechtsklick auf den Domänencontroller fördert eine Fülle von Optionen und Informationen zu Tage. Der Menüpunkt Action ? Domain ? Search Domain Controllers for Replication Errors zeigt Replikationsfehler an. Microsofts Technet liefert weiterführende Informationen.

Microsofts ALTools-Sammlung (Account Lockout and Management Tools) besteht aus Programmen, die teilweise auch zu den Support Tools und dem Windows Server Resource Kit gehören, sowie Werkzeugen für das Verwalten von Benutzern in Domänen. Eines ist EventCombMT, das auf Servern nach gleichen Einträgen in der Ereignisanzeige sucht: Nach Auswahl der Domäne setzt man die Server, das Eventlog und die Filter, mit denen die Ereignisanzeigen durchsucht werden sollen. Bei langsamen WAN-Verbindungen kann das dauern. Außerdem kann das Tool Daten exportieren und analysieren.