Überprüfen der DNS-Funktionalität zur Unterstützung der Verzeichnisreplikation

Um Domain Name System-(DNS-)Einstellungen zu überprüfen, die die Active Directory-Replikation beeinträchtigen können, können Sie zunächst den grundlegenden Test ausführen, durch den sichergestellt wird, dass DNS für Ihre Domäne ordnungsgemäß ausgeführt wird. Nachdem Sie den grundlegenden Test ausgeführt haben, können Sie andere Aspekte der DNS-Funktionalität testen, wie z. B. die Ressourceneintragsregistrierung und die dynamische Aktualisierung.

Obwohl Sie diesen Test der grundlegenden DNS-Funktionalität auf jedem Domänencontroller ausführen können, führen Sie ihn in der Regel auf Domänencontrollern aus, von denen Sie annehmen, dass Replikationsprobleme auftreten, z. B. auf Domänencontrollern, die Ereignis-IDs 1844, 1925, 2087 oder 2088 im DNS-Protokoll des Ereignisanzeige Verzeichnisdiensts melden.

Ausführen des grundlegenden DNS-Tests auf einem Domänencontroller

Beim grundlegenden DNS-Test werden die folgenden Aspekte der DNS-Funktionalität überprüft:

• Verbindung: Der Test bestimmt, ob Domänencontroller in DNS registriert sind, über den ping Befehl kontaktiert werden können und über LDAP/RPC-Konnektivität (Lightweight Directory Access Protocol/Remote Procedure Call) verfügen. Wenn der Konnektivitätstest auf einem Domänencontroller fehlschlägt, werden keine anderen Tests für diesen Domänencontroller ausgeführt. Der Konnektivitätstest wird automatisch ausgeführt, bevor andere DNS-Tests ausgeführt werden.
• Grundlegende Dienste: Der Test bestätigt, dass die folgenden Dienste ausgeführt werden und auf dem getesteten Domänencontroller verfügbar sind: DNS-Clientdienst, Net Logon-Dienst, Schlüsselverteilungscenter-(KDC-)Dienst und DNS-Serverdienst (wenn DNS auf dem Domänencontroller installiert ist).
• DNS-Clientkonfiguration: Der Test bestätigt, dass DNS-Server auf allen Netzwerkadaptern des DNS-Clientcomputers erreichbar sind.
• Ressourceneintragsregistrierungen: Der Test bestätigt, dass der Hostressourceneintrag (A) jedes Domänencontrollers auf mindestens einem der DNS-Server registriert ist, die auf dem Clientcomputer konfiguriert sind.
• Zone und Ursprung der Autorität (SOA): Wenn der DNS-Serverdienst auf dem Domänencontroller ausgeführt wird, wird durch den Test bestätigt, dass die Active Directory-Domänenzone und der Ressourceneintrag des Autoritätsursprungs (SOA) für die Active Directory-Domänenzone vorhanden sind.
• Stammzone: Überprüft, ob die Stammzone (.) vorhanden ist.

Sie müssen mindestens Mitglied der Gruppe Organisations-Admins oder einer entsprechenden Gruppe sein, um diese Verfahren auszuführen.

Sie können das folgende Verfahren verwenden, um die grundlegende DNS-Funktionalität zu überprüfen.

So überprüfen Sie die grundlegende DNS-Funktionalität:

1. Öffnen Sie auf dem Domänencontroller, den Sie testen möchten, oder auf einem Domänenmitgliedscomputer, auf dem Active Directory Domain Services-(AD DS-)Tools installiert sind, eine Eingabeaufforderung als Administrator. Klicken Sie zum Öffnen einer Eingabeaufforderung als Administrator auf Start.

2. Geben Sie in Suche starten Command Prompt ein.

3. Klicken Sie am oberen Rand des Menüs Start mit der rechten Maustaste auf Eingabeaufforderung, und klicken Sie dann auf Als Administrator ausführen. Wenn das Dialogfeld Benutzerkontensteuerung angezeigt wird, vergewissern Sie sich, dass die gewünschte Aktion angezeigt wird, und klicken Sie dann auf Weiter.

4. Geben Sie nach der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie die EINGABETASTE: dcdiag /test:dns /v /s:<DCName> /DnsBasic /f:dcdiagreport.txt
   
   Ersetzen Sie den tatsächlichen definierten Namen, den NetBIOS-Namen oder den DNS-Namen des Domänencontrollers durch <DCName>. Alternativ können Sie alle Domänencontroller in der Gesamtstruktur testen, indem Sie /e: anstelle von /s:eingeben. Wenn Sie stattdessen /f eingeben, wird ein Dateinamen angegeben, der im vorherigen Befehl dcdiagreport.txt ist. Wenn Sie die Datei an einem anderen Speicherort als dem aktuellen Arbeitsverzeichnis ablegen möchten, können Sie einen Dateipfad angeben, z. B. /f:c:reportsdcdiagreport.txt.

5. Öffnen Sie die Datei dcdiagreport.txt im Windows-Editor oder in einem ähnlichen Text-Editor. Um die Datei im Windows-Editor zu öffnen, geben Sie an der Eingabeaufforderung Windows-Editor dcdiagreport.txt ein, und drücken Sie anschließend die EINGABETASTE. Wenn Sie die Datei in einem anderen Arbeitsverzeichnis abgelegt haben, fügen Sie den Pfad zur Datei ein. Wenn Sie die Datei beispielsweise in c:reports abgelegt haben, geben Sie Windows-Editor c:reportsdcdiagreport.txt ein, und drücken Sie anschließend die EINGABETASTE.

6. Scrollen Sie zu der Zusammenfassungstabelle unten in der Datei.
   
   Notieren Sie sich die Namen aller Domänencontroller, bei denen in der Zusammenfassungstabelle der Status „Warnung“ oder „Fehler“ angegeben ist. Versuchen Sie zu ermitteln, ob ein Problem mit dem Domänencontroller vorliegt, indem Sie den detaillierten Breakoutabschnitt suchen, indem Sie nach der Zeichenfolge „DC: DCName“ suchen, wobei DCName der tatsächliche Name des Domänencontrollers ist.

Wenn offensichtliche Konfigurationsänderungen angezeigt werden, die erforderlich sind, nehmen Sie diese nach Bedarf vor. Wenn Sie beispielsweise feststellen, dass einer Ihrer Domänencontroller über eine offensichtlich falsche IP-Adresse verfügt, können Sie sie korrigieren. Führen Sie den Test anschließend erneut aus.

Führen Sie den Befehl Dcdiag /test:DNS /v mit dem Wechsel /e: oder /s: erneut aus, um die Konfigurationsänderungen zu überprüfen. Wenn auf dem Domänencontroller nicht die IP-Version 6 (IPv6) aktiviert ist, ist davon auszugehen, dass der Host(AAAA)-Validierungsteil des Tests fehlschlägt. Wenn Sie jedoch IPv6 nicht in Ihrem Netzwerk verwenden, sind diese Datensätze nicht erforderlich.

Überprüfen der Ressourceneintragsregistrierung

Der Zieldomänencontroller verwendet als Ressourceneintrag den DNS-Alias (CNAME), um den Replikationspartner des Quelldomänencontrollers zu suchen. Obwohl Domänencontroller, auf denen Windows Server ausgeführt wird (ab Windows Server 2003 mit Service Pack 1 (SP1)), Quellreplikationspartner mithilfe vollqualifizierter Domänennamen (FQDNs) finden können, oder, wenn dies fehlschlägt, NetBIOS-Namen verwenden, wird das Vorhandensein des Alias-Ressourceneintrags (CNAME) erwartet und sollte für die ordnungsgemäße DNS-Funktion überprüft werden.

Sie können das folgende Verfahren verwenden, um die Ressourceneintragsregistrierung einschließlich der Alias-(CNAME-)Ressourceneintragsregistrierung zu überprüfen.

So überprüfen Sie die Ressourceneintragsregistrierung

1. Öffnen Sie als Administrator eine Eingabeaufforderung. Klicken Sie zum Öffnen einer Eingabeaufforderung als Administrator auf Start. Geben Sie in Suche starten Command Prompt ein.
2. Klicken Sie am oberen Rand des Menüs Start mit der rechten Maustaste auf Eingabeaufforderung, und klicken Sie dann auf Als Administrator ausführen. Wenn das Dialogfeld Benutzerkontensteuerung angezeigt wird, vergewissern Sie sich, dass die gewünschte Aktion angezeigt wird, und klicken Sie dann auf Weiter.
   
   Mit dem Dcdiag-Tool können Sie die Registrierung aller Ressourceneinträge überprüfen, die für den Speicherort des Domänencontrollers benötigt werden, indem Sie den Befehl dcdiag /test:dns /DnsRecordRegistration ausführen.

Mit diesem Befehl wird die Registrierung der folgenden Ressourceneinträge in DNS überprüft:

• Alias (CNAME): der Globally Unique Identifier-(GUID-)basierte Ressourceneintrag, der einen Replikationspartner sucht
• host (A): Der Hostressourceneintrag, der die IP-Adresse des Domänencontrollers enthält
• LDAP SRV: die Dienst-(SRV-)Ressourceneinträge, die LDAP-Server suchen
• GC SRV: die Dienst-(SRV-)Ressourceneinträge, die globale Katalogserver suchen
• PDC SRV: die Dienst-(SRV-)Ressourceneinträge, die primäre Domänencontroller-(PDC-)Emulatorvorgänge suchen

Mit dem folgenden Verfahren können Sie allein die Alias-(CNAME-)Ressourceneintragsregistrierung überprüfen.

So überprüfen Sie die Alias-(CNAME-)Ressourceneintragsregistrierung

1. Öffnen Sie das DNS-Snap-In. Klicken Sie auf Start, um DNS zu öffnen. Geben Sie in „Suche starten“ die Zeichenfolge dnsmgmt.msc ein, und drücken Sie dann die EINGABETASTE. Wenn das Dialogfeld „Benutzerkontensteuerung“ angezeigt wird, vergewissern Sie sich, dass die gewünschte Aktion angezeigt wird, und klicken Sie dann auf „Weiter“.
2. Verwenden Sie das DNS-Snap-In, um einen beliebigen Domänencontroller zu suchen, auf dem der DNS-Serverdienst ausgeführt wird und auf dem der Server die DNS-Zone mit demselben Namen hostet wie die Active Directory-Domäne des Domänencontrollers.
3. Klicken Sie in der Konsolenstruktur auf die Zone mit dem Namen _msdcs. Dns_Domain_Name.
4. Überprüfen Sie im Detailbereich, ob die folgenden Ressourceneinträge vorhanden sind: ein Alias-(CNAME-)Ressourceneintrag mit dem Namen Dsa_Guid._msdcs.<Dns_Domain_Name> und ein entsprechende Hostressourceneintrag (A) für den Namen des DNS-Servers.

Wenn der Alias-(CNAME-)Ressourceneintrag nicht registriert ist, überprüfen Sie, ob die dynamische Aktualisierung ordnungsgemäß funktioniert. Mit dem Test im folgenden Abschnitt können Sie die dynamische Aktualisierung überprüfen.

Überprüfen der dynamischen Aktualisierung

Wenn der grundlegende DNS-Test ergibt, dass keine Ressourceneinträge in DNS vorhanden sind, verwenden Sie den dynamischen Updatetest, um zu ermitteln, warum der Net Logon-Dienst die Ressourceneinträge nicht automatisch registriert hat. Gehen Sie wie folgt vor, um zu überprüfen, ob die Active Directory-Domänenzone so konfiguriert ist, dass sie sichere dynamische Updates akzeptiert und eine Registrierung eines Testdatensatzes (_dcdiag_test_record) durchführt. Der Testdatensatz wird nach dem Test automatisch gelöscht.

So überprüfen Sie das dynamische Update

1. Öffnen Sie als Administrator eine Eingabeaufforderung. Klicken Sie zum Öffnen einer Eingabeaufforderung als Administrator auf Start. Geben Sie in Suche starten Command Prompt ein. Klicken Sie am oberen Rand des Menüs Start mit der rechten Maustaste auf Eingabeaufforderung, und klicken Sie dann auf Als Administrator ausführen. Wenn das Dialogfeld Benutzerkontensteuerung angezeigt wird, vergewissern Sie sich, dass die gewünschte Aktion angezeigt wird, und klicken Sie dann auf Weiter.
2. Geben Sie nach der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie die EINGABETASTE: dcdiag /test:dns /v /s:<DCName> /DnsDynamicUpdate
   
   Ersetzen Sie den definierten Namen, den NetBIOS-Namen oder den DNS-Namen des Domänencontrollers durch <DCName>. Alternativ können Sie alle Domänencontroller in der Gesamtstruktur testen, indem Sie /e: anstelle von /s:eingeben. Wenn Sie IPv6 auf dem Domänencontroller nicht aktiviert haben, sollten Sie erwarten, dass der Host-(AAAA-)Ressourceneintragsteil des Tests fehlschlägt. Dies ist der normale Zustand, wenn IPv6 nicht aktiviert ist.

Wenn keine sicheren dynamischen Updates konfiguriert sind, können Sie sie mit dem folgenden Verfahren konfigurieren.

So aktivieren Sie sichere dynamische Updates

1. Öffnen Sie das DNS-Snap-In. Klicken Sie auf Start, um DNS zu öffnen.
2. Geben Sie in „Suche starten“ die Zeichenfolge dnsmgmt.msc ein, und drücken Sie dann die EINGABETASTE. Wenn das Dialogfeld „Benutzerkontensteuerung“ angezeigt wird, vergewissern Sie sich, dass die gewünschte Aktion angezeigt wird, und klicken Sie dann auf „Weiter“.
3. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf die betreffende Zone, und klicken Sie dann auf „Eigenschaften“.
4. Überprüfen Sie auf der Registerkarte „Allgemein“, ob der Zonentyp Active Directory-integriert ist.
5. Klicken Sie in „Dynamischer Aktualisierungen“ auf „Nur Sichere“.

Registrieren von DNS-Ressourceneinträgen

Wenn DNS-Ressourceneinträge für den Quelldomänencontroller nicht in DNS angezeigt werden, Sie dynamische Updates überprüft haben und DNS-Ressourceneinträge sofort registrieren möchten, können Sie die Registrierung mithilfe des folgenden Verfahrens manuell erzwingen. Der Net Logon-Dienst auf einem Domänencontroller registriert die DNS-Ressourceneinträge, die erforderlich sind, damit der Domänencontroller im Netzwerk gefunden wird. Der DNS-Clientdienst registriert den Hostressourceneintrag (A), auf den der Aliaseintrag (CNAME) verweist.

So registrieren Sie DNS-Ressourceneinträge manuell

1. Öffnen Sie als Administrator eine Eingabeaufforderung. Klicken Sie zum Öffnen einer Eingabeaufforderung als Administrator auf Start.
2. Geben Sie in Suche starten Command Prompt ein.
3. Klicken Sie oben im Startmenü mit der rechten Maustaste auf „Eingabeaufforderung“, und klicken Sie dann auf „Als Administrator ausführen“. Wenn das Dialogfeld Benutzerkontensteuerung angezeigt wird, vergewissern Sie sich, dass die gewünschte Aktion angezeigt wird, und klicken Sie dann auf Weiter.
4. Um die Registrierung von Ressourceneinträgen des Domänencontrollerlocators manuell auf dem Quelldomänencontroller zu initiieren, geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie die EINGABETASTE: net stop netlogon && net start netlogon
5. Um die Registrierung des Hostressourceneintrags (A) manuell zu initiieren, geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie die EINGABETASTE: ipconfig /flushdns && ipconfig /registerdns
6. Geben Sie nach der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie die EINGABETASTE: dcdiag /test:dns /v /s:<DCName>
   
   Ersetzen Sie den definierten Namen, den NetBIOS-Namen oder den DNS-Namen des Domänencontrollers durch <DCName>. Überprüfen Sie das Ergebnis des Tests, um sicherzustellen, dass die DNS-Tests bestanden wurden. Wenn Sie IPv6 auf dem Domänencontroller nicht aktiviert haben, sollten Sie erwarten, dass der Host-(AAAA-)Ressourceneintragsteil des Tests fehlschlägt. Dies ist der normale Zustand, wenn IPv6 nicht aktiviert ist.