Problemen met Active Directory en DNS-replicatie oplossen

Samenvatting van het artikel: Dit artikel bevat informatie over het oplossen van problemen met Active Directory en DNS-replicatie.

Inhoudsopgave:

1. Vind de flexibele FSMO-rolhouders
(Single Master Operations)2. okt. Beperk het probleem
3. okt. DNS
visueel inspecteren4. okt. Sites en services
visueel inspecteren5. okt. Gebeurtenis-ID's gebruiken om probleemoplossing
te verfijnen6. okt. Andere beschikbare tools

Probleem 1. Vind de flexibele FSMO-rolhouders (Single Master Operations)

Begin met het vinden van de domeincontrollers (DC's) in de organisatie. Concentreer je op de gezondheid van je boswortel en werk je een weg naar buiten.

Zoek de FSMO-rolhouders door een opdrachtprompt met verhoogde bevoegdheid te openen en het volgende te typen:

 NetDom query FSMO

Dit retourneert een lijst van de DC's met elke rol:

Onderwerp 2. Beperk het probleem

Om het probleem te verkleinen, is het belangrijk om systematisch te werk te gaan. Gebruik de volgende hulpprogramma's voor het testen van verschillende DC's, hun verbinding met het hoofddomein of de rolhouder, hun vermogen om namen om te zetten in IP-adressen, open poorten en replicatieresultaten.

Probeer een specifieke server aan te wijzen die niet communiceert en bepaal of de bron- of doelserver de oorzaak is. Gebeurtenislogboeken en replicatieresultaten zijn manieren om aanvullende informatie te verkrijgen.

• dcdiag /v /c /d /e /s: > C:\dcdiag.txt
• ipconfig /all (van alle DC's en DNS-servers)
• repadmin /showrepl (van elke DC)
• repadmin /replsum
• dcdiag /test:dns /s: /dnsbasic
• repadmin /syncall /aped
• Ping elke DC op naam en controleer of de naam wordt omgezet in het juiste IP-adres.
• Gebruik nslookup om DNS te testen voor verschillende DC's.
• Gebruik tracert om de routes tussen servers te testen.
• repadmin /bind servername - Kunnen de DC's aan elkaar binden?

Probleem 3. DNS visueel inspecteren

Open de DNS-console door naar Start -> Beheertools -> DNS te gaan. Klik op de DNS-server in het linkerdeelvenster.

Controleer de forward lookup-zones en alle andere zones met betrekking tot het forest en de domeinpartities.

Richtlijnen zijn beschikbaar bij Microsoft TechNet via deze koppeling: Problemen met DNS oplossen

Enkele dingen waar u op moet letten in de DNS-console zijn:

• Begin van autoriteit (eigenschappen) - meerdere namen voor servers die niet bestaan.
• Records met onjuiste IP-adressen.
• Verouderde records die niet zijn verwijderd.
• "(Zelfde als bovenliggende map)" hostrecords die niet verwijzen naar DC's.
• Zoek het begin van autoriteitsrecords (SOA) en naamserver (NS) in de forward lookup-zone van het domein (zie onderstaande afbeelding).
  • Klik met de rechtermuisknop op elk onderdeel en selecteer Eigenschappen.
  • Controleer of de nameservers en andere informatie correct zijn.
• Kijk in de map _msdcs.
• Ontbreken er vermeldingen?

Meer informatie over de DNS-infrastructuur vindt u op de pagina Microsoft TechNet DNS Server.

Probleem 4. Sites en services visueel inspecteren

De Active Directory-console voor sites en services bevat verschillende items die kunnen helpen bij het oplossen van replicatiefouten. Inspecteer en open elke map en zoek naar het volgende:

• Controleer of subnetten zijn gemaakt en toegewezen aan de juiste sites.
• Zorg ervoor dat elk siteobject de juiste servers bevat.
• Controleer de NTDS-instellingen om de replicatieverbindingen te controleren.
• Controleer of de servernamen bestaan.

Probleem 5. Gebruik gebeurtenis-ID's om probleemoplossing te beperken

 
AD-gerelateerde fouten zijn te vinden in de Event Viewer-console. 
De snelste manier om hier te komen is door naar Start -> Uitvoeren te gaan en eventvwr.msc te typen.
Relevante gebeurtenislogboeken zijn onder andere het logboek System, DNS, Directory Service en File Replication Service.

Gebruik de volgende artikelen om de volgende stappen te bepalen op basis van fouten in de logboeken:

• Problemen met replicatie oplossen
• Hoe AD-replicatietopologie werkt
• Active Directory Replication status Tool
• Troubleshooting Active Directory Replication Problems
• Microsoft Active Directory-topologiediagrammer

Probleem 6. Andere beschikbare tools

Nltest is een handige opdrachtregeltool die veel soorten informatie over een AD-domein kan retourneren. 
Het proces voor het opschonen van metadata wordt gebruikt om AD-verwijzingen te verwijderen naar DC's die offline zijn gehaald zonder correct te worden gedegradeerd.
Slepende objecten zijn AD-objecten die uit het ene DC zijn verwijderd, maar op een ander DC blijven staan als gevolg van een replicatiefout.
Het verwijderen van deze objecten is een noodzakelijke stap in het herstellen van de juiste replicatie.

• Data Active Directory verwijderen na mislukte degradatie van domeincontroller
• Servermetadata opschonen
• Nltest
• Ruim dat Active Directory-woud op van achtergebleven objecten