AD-Troubleshooting: dcdiag, repadmin
Active Directory läuft in den meisten Umgebungen jahrelang ohne größere Probleme – bis es Probleme gibt. Dann ist schnelles und systematisches Troubleshooting gefragt. Die gute Nachricht: Windows bringt hervorragende eingebaute Diagnosetools mit. dcdiag und repadmin sind die zwei wichtigsten Werkzeuge für AD-Diagnose, die jeder Systemadministrator kennen sollte. Sie liefern strukturierte Testergebnisse und Replikationsinfos die schnell auf die Fehlerursache zeigen.
Als Azubi wirst du diese Tools nicht täglich brauchen – aber wenn ein DC-Problem auftritt (Anmeldungen schlagen fehl, Passwort-Änderungen kommen nicht an, neue Gruppenrichtlinien gelten nicht auf manchen Systemen) sind das deine ersten Anlaufstellen. Und in der IHK-Prüfung sind dcdiag und repadmin regelmäßig Thema.
1) Typische Symptome und Diagnosebefehle
Probleme in AD äußern sich oft indirekt: „Ich kann mich mit dem neuen Passwort noch nicht anmelden", „Der neue Benutzer existiert auf DC-01 aber nicht auf DC-02", „Gruppenrichtlinien gelten auf manchen PCs nicht". Die folgende Übersicht ordnet Symptome den richtigen Diagnosebefehlen zu. Klicke ein Symptom auf:
Mögliche Ursachen: DC nicht erreichbar, Kerberos-Zeitdifferenz, Konto gesperrt, DNS-Problem.
nltest /dsgetdc:ad.firma.de # Welcher DC wird gefunden? w32tm /query /status # Zeitsynch-Status prüfen Get-ADUser mueller.hans | Select LockedOut,Enabled,PasswordExpired dcdiag /test:locatorcheck # DC-Lokalisierung testen ✓ DC gefunden, Uhrzeit stimmt → Konto-Status prüfen ✗ DC nicht gefunden → DNS prüfen: nslookup _ldap._tcp.ad.firma.deUrsache fast immer: AD-Replikation zwischen DCs schlägt fehl. Die Änderung ist auf DC-01 aber nicht auf DC-02 angekommen.
repadmin /showrepl # Replikationsstatus aller Partner repadmin /replsummary # Kompakte Zusammenfassung repadmin /syncall /AdeP # Sofortige Sync erzwingen ✓ repadmin /showrepl zeigt alle grün → Replikation OK ✗ Fehlermeldungen → repadmin /showrepl /errorsonly für DetailsTypische Ursachen: PC ist in falscher OU, SYSVOL nicht repliziert, Konnektivitätsproblem.
gpresult /r /scope computer # Auf dem betroffenen PC gpresult /h C:\gpo.html # HTML-Report erstellen dcdiag /test:sysvolcheck # SYSVOL-Status prüfen dcdiag /test:frssysvol # SYSVOL-Replikation (FRS) ✓ GPO erscheint in gpresult aber Einstellung greift nicht → Filterung prüfen ✗ GPO fehlt in gpresult → PC in falscher OU oder SYSVOL-Problemdcdiag führt viele Tests durch. Die wichtigsten Tests und ihre Bedeutung:
dcdiag /v # Alle Tests mit Details dcdiag /test:replications # Nur Replikationstests dcdiag /test:dns /v # DNS-Diagnose für AD dcdiag /test:netlogons # Netlogon-Dienst-Check dcdiag /fix # Häufige Probleme automatisch reparieren ✓ Alle Tests: passed → DC gesund ✗ Test fehlgeschlagen → Fehlermeldung + Event Log (Directory Service Log) prüfenKlassisches Replikationsproblem. Replikation passiert normalerweise innerhalb von 15–30 Sekunden innerhalb einer Site.
repadmin /showattr * DC=ad,DC=firma,DC=de /filter:"(samaccountname=mueller.hans)" repadmin /showrepl DC-02 /errorsonly # Fehler auf DC-02? repadmin /replicate DC-02 DC-01 "DC=ad,DC=firma,DC=de" # Manuell erzwingen Get-ADDomainController -Filter * | Select Name,IsReadOnly # Alle DCs auflisten ✓ Nach manueller Replikation erscheint Objekt → temporäres Replikationsproblem gelöst ✗ Replikation schlägt dauerhaft fehl → Firewall (Port 135, RPC-dynamisch), DNS, Zeitdifferenz prüfen2) dcdiag – die wichtigsten Tests auf einen Blick
dcdiag führt beim Aufruf ohne Parameter alle Standard-Tests durch. Ein „passed" bedeutet alles OK, ein „failed" braucht Aufmerksamkeit. Die folgende Tabelle erklärt die wichtigsten Tests:
| Test | Was er prüft | Typische Fehlerursachen |
|---|---|---|
Connectivity | Kann der DC über LDAP und Kerberos erreicht werden? | DNS-Problem, Firewall blockiert Port 389/88 |
Replications | Replikationsfehler zu Replikationspartnern | Netzwerkproblem, Firewall, RPC-Port blockiert |
NCSecDesc | Sicherheitsdeskriptoren der Naming Contexts korrekt? | Berechtigungsproblem auf AD-Objekt |
SysVolCheck | SYSVOL korrekt freigegeben und befüllt? | DFSR-Replikationsproblem |
DNS | Alle AD-spezifischen DNS-Einträge vorhanden? | _ldap._tcp.DOMAIN SRV-Record fehlt |
Netlogons | Läuft der Netlogon-Dienst, sind Shares erreichbar? | Netlogon-Dienst gestoppt, Firewall Port 445 |
LocatorCheck | Können DCs den PDC Emulator und GC finden? | FSMO nicht erreichbar |
Zusammenfassung
Goldene Troubleshooting-Regel: Erst DNS prüfen (nslookup, dcdiag /test:dns), dann Zeit (w32tm /query /status), dann Replikation (repadmin /showrepl), dann Dienste (dcdiag /v). Für Passwort-Probleme: repadmin /syncall /AdeP erzwingt sofortige Replikation. Für GPO-Probleme: gpresult /h auf dem betroffenen Client, dann SYSVOL-Status.