Fehlerbehebung und Wartung
Active Directory besteht aus vielen Komponenten: DNS, Replikation, Kerberos, GPOs.
Wenn etwas nicht funktioniert, muss man systematisch prüfen.
Hier lernst du die wichtigsten Befehle und vor allem, wofür du sie einsetzt.
1) DNS-Probleme
Warum DNS so wichtig ist:
Active Directory benutzt DNS, um Domänencontroller und Dienste zu finden.
Wenn DNS falsch konfiguriert ist, kann sich kein Client anmelden – selbst wenn Benutzername/Passwort korrekt sind.
Befehle:
nslookup SRV-DC01.firma.local
Ziel: Prüfen, ob der Domänencontroller überhaupt über DNS gefunden wird.
Wenn hier kein Ergebnis kommt → Client kann den DC nicht kontaktieren.
nslookup -type=SRV _ldap._tcp.dc._msdcs.firma.local
Ziel: SRV-Records abfragen, die AD im DNS anlegt.
Ohne diese Einträge wissen Clients nicht, welcher Server als DC zuständig ist.
2) Replikationsprobleme
Warum Replikation wichtig ist:
Alle DCs müssen denselben Datenbestand haben.
Beispiel: Benutzer ändert Passwort in Berlin → ohne Replikation weiß München nichts davon.
Befehle:
repadmin /replsummary
Ziel: Gibt eine Übersicht, ob alle DCs erfolgreich replizieren.
Bei Fehlern (z. B. „Last error: 1722 (RPC server unavailable)“) erkennt man sofort, wo die Replikation hängt.
repadmin /showrepl
Ziel: Zeigt im Detail, welche Daten von welchem Partner repliziert werden.
Hilfreich, um zu sehen, ob ein bestimmter DC nie synchronisiert wird.
repadmin /syncall /AdeP
Ziel: Replikation sofort manuell anstoßen.
Wird genutzt, um Änderungen (z. B. Passwortänderungen) sofort im gesamten Forest verfügbar zu machen.
3) Kerberos-Fehler
Warum Zeit wichtig ist:
Kerberos ist sehr streng mit der Uhrzeit. Schon eine Abweichung von mehr als 5 Minuten → Anmeldung schlägt fehl („Clock skew too great“).
Befehle:
w32tm /query /status
Ziel: Aktuelle Zeiteinstellungen des Servers prüfen.
Zeigt Quelle und Abweichung → sofort sichtbar, ob Uhr falsch läuft.
w32tm /query /configuration
Ziel: Kontrollieren, welcher Server als Zeitquelle dient.
Wichtig: Der PDC-Emulator sollte eine verlässliche externe Zeitquelle haben.
w32tm /resync
Ziel: Erzwingt sofortige Synchronisation mit der Zeitquelle.
Wird genutzt, wenn Anmeldungen wegen Zeitfehlern blockiert sind.
4) Gruppenrichtlinien-Probleme
Warum GPOs oft „nicht greifen“:
Benutzer/Computer ist in falscher OU.
GPO nicht verknüpft oder deaktiviert.
Höherliegende GPO überschreibt Einstellungen.
Befehle:
gpresult /r
Ziel: Liste aller GPOs, die für Benutzer und Computer tatsächlich angewendet wurden.
Damit lässt sich prüfen: „Greift meine Azubi-GPO wirklich?“
gpresult /h gpo-report.html
Ziel: HTML-Bericht mit allen angewendeten und blockierten GPOs.
Sehr nützlich bei komplexen Strukturen, weil man grafisch sieht, welche GPO greift.
5) Kontosperrungen
Warum Konten gesperrt werden:
Benutzer gibt mehrfach falsches Passwort ein.
Ein altes Passwort ist noch auf einem Gerät (Handy-Mail-App, Dienst).
Ein Prozess/Dienst läuft im Hintergrund mit falschen Anmeldedaten.
Werkzeug:
LockoutStatus.exe (Microsoft Resource Kit Tool).
Ziel: Zeigt an, auf welchem DC die Sperrung stattfindet → Hinweis, wo das falsche Passwort herkommt.
6) SSO/SAML-Probleme
Warum Fehler entstehen:
SSO hängt von Zeit, DNS und Zertifikaten ab.
Token (SAML-Assertion) abgelaufen.
Uhrzeit zwischen AD und Cloud weicht ab.
AD FS-Zertifikat abgelaufen.
PowerShell-Befehle (auf AD FS-Server):
Get-ADFSProperties
Ziel: Konfiguration von AD FS prüfen (Token-Lebensdauer, Signaturzertifikate).
Get-ADFSCertificate
Ziel: Gültigkeit der Zertifikate prüfen → oft Ursache für SSO-Ausfälle.
7) Gesamtüberblick – Wichtigste Tools & ihre Ziele
| Befehl / Tool | Ziel | Typische Situation |
|---|---|---|
| dcdiag | DC-Gesundheitscheck (DNS, Services, FSMO) | Nach Installation oder bei generellen Problemen |
| repadmin /replsummary | Replikation prüfen | Unterschiedliche Passwörter/Objekte an Standorten |
| nslookup | DNS-Einträge prüfen | Anmeldung schlägt fehl, DC nicht gefunden |
| w32tm /query /status | Zeit prüfen | Kerberos-Fehler, Anmeldungen schlagen fehl |
| gpresult /r | Welche GPOs greifen? | Netzlaufwerk/Drucker fehlt |
| eventvwr.msc | Fehler in Ereignisanzeige suchen | Detailanalyse bei Fehlern |
| Get-ADUser | Benutzerobjekte prüfen (PowerShell) | „Ist der Benutzer in der richtigen Gruppe?“ |
8) Wartung mit Zielbezug
Backups (System State):
Ziel: Sicherstellen, dass AD nach Hardware-Crash oder Fehlkonfiguration wiederhergestellt werden kann.Updates:
Ziel: Schließen von Sicherheitslücken in Kerberos/DNS.Monitoring:
Ziel: Frühzeitige Erkennung von Problemen (z. B. Replikationsfehler, voller Speicher).Aufräumen:
Ziel: Vermeidung von „Datenmüll“ → inaktive Benutzer und PCs können Sicherheitsrisiken sein.Dokumentation:
Ziel: Andere Admins verstehen Struktur und Änderungen, auch nach Jahren.
Merksätze
Jeder Befehl hat ein Ziel: Finde heraus, was kaputt ist.
dcdiag prüft DC-Gesundheit – erster Schritt bei Problemen.
repadmin = Replikationsstatus → wichtig in Umgebungen mit mehreren Standorten.
nslookup zeigt, ob DNS funktioniert → häufigste Fehlerquelle.
w32tm → Uhrzeit synchron? Ohne Zeit kein Kerberos.
gpresult → Warum greift meine GPO nicht?
LockoutStatus → Woher kommen Kontosperrungen?
AD FS Cmdlets → Sind Zertifikate/SSO-Tokens gültig?