Toon posts:

temp: HOWTO: Active Directory Troubleshooting

Pagina: 1
Acties:
  • 295 views sinds 30-01-2008
  • Reageer

woensdag 4 juli 2007 17:26

Acties:
  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

Topicstarter
(overleden)
voor de WSS faq, aangezien ik de 200 miljoen basic ad problementopics een beetje zat begin te raken.


HOWTO: Active Directory Troubleshooting

Inleiding

Dit document is bedoeld als checklist bij het oplossen van problemen in je Active Directory. Het is geschreven met Windows Server 2003 als basis, maar geldt ook voor Windows 2000 en Server 2008-domeinen. Waar verschillen bestaan wordt dit expliciet vermeld.

Natuurlijk is elk probleem uniek, en zal elke specifieke foutmelding anders benaderd moeten worden. Er zijn een aantal veel voorkomende oorzaken, welke we in vogelvlucht behandelen. Verwijzingen naar alle genoemde tools en software vind je onderaan het document, onder 'Nuttige links en gebruikte tools'

« ·^

Inhoudsopgave

« ·^

Algemene instellingen server

De correcte werking van DNS is cruciaal voor Active Directory. Zowel domaincontrollers als clients dienen ten aller tijde de AD DNS servers te gebruiken. Deze opmerking zul je vaker zien, dit is een erg belangrijk punt!

De meeste te controleren instellingen zul je in het DNS MMC vinden.

Stap 1: DNS Server instellingen

Open het DNS console, en open de eigenschappen van de dns-server (rechtermuisklik op de servernaam)

In het tabblad "Interfaces" zie je de mogelijkheid om IP adressen in te stellen waarop de dns server actief is.

Wanneer je meer dan twee netwerkkaarten gebruikt is het verstandig Active Directory en DNS op een enkele netwerkkaart actief te laten zijn en andere interfaces middels routering toegang te verschaffen.


%AFB%

Stap 2: Internet en forwarders

Voor het correct functioneren van Active Directory is het essentieel dat alle computers enkel dns-aanvragen doen via de AD DNS server.

Internet-dnsaanvragen kan de server middels "forwarders" doorsturen. Controleer indien relevant of in het tabblad Forwarders de dns servers van je provider ingevuld zijn.


%AFB%

Stap 3: DNS reverse lookup zones

Controleer of er naast de forward lookupzone ook voor elk subnet waarin Active Directory actief is een reverse lookup zone bestaat.


%AFB%

Stap 4: Dynamische DNS updates

Open de dns server, en controleer via de eigenschappen van elke zone of dynamische updates actief zijn. Microsoft raadt aan om Active Directory geintegreerde DNS te gebruiken. Dit creert onder andere de mogelijkheid tot efficientere replicatie.


%AFB%

Stap 5: Netwerkkaartinstellingen

Blader via het configuratiescherm naar "Network connections" en verifieer dat:

  • Voor elke netwerkkaart waarop dns/active directory actief is, moeten "Client For Microsoft Networks", "File and Printer Sharing" en TCP/IP (v4) ingeschakeld zijn. Dit controleer je in het eigenschappenvenster.
    %AFB%
  • Open de eigenschappen van TCP/IP in ditzelfde venster, en controleer of als enige DNS-server het ip-adres van de domaincontroller(s) of 127.0.0.1 is ingesteld.Elk ander adres is fout! De servers van internetprovider, router, strijkijzer mogen niet op clients ingesteld worden!!!
    %AFB%
  • Klik nu geavanceerd, en check of in het tabblad dns of zoals hieronder de twee vinkjes ingeschakeld zijn, met name "Register this connection's addresses in DNS". Dit vinkje moet uit staan voor niet in AD te gebruiken netwerkkaarten!!!
    %AFB%
  • Binnen hetzelfde menu Network Connections klik je in de grijze bak op 'Advanced > Advanced Settings'. Zorg dat in het venster wat verschijnt de netwerkkaarten waarop Active Directory actief is bovenaan in het lijstje staan, verander dit zonodig.
    %AFB%

Stap 6: Systeemservices controleren

Controleer of de volgende systeemservices aanwezig en gestart zijn. Open hiervoor het "Services" MMC

  • TCP/IP NetBIOShelper
  • DNS Server
  • DNS Client
  • Netlogon
  • Network connections
  • File Replication System
  • Distributed File System
  • Workstation
  • Server

Stap 7: Server Message Block Signing

Wanneer fileshares op de server, of andere diensten niet meer benaderbaar zijn, controleer dan ook in het register:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
"EnableSecuritySignature" = "1"
"RequireSecuritySignature" = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
"EnableSecuritySignature" = "1"
"RequireSecuritySignature" = "0"

Deze instellingen kunnen voor jouw omgeving met redenen anders zijn ingesteld. Als dit niet direct als oorzaak van de problemen te herleiden is, laat deze registerinstellingen dan ongemoeid!

« ·^

Diagnostische programma's

In deze sectie worden een aantal programma's besproken welke je kunnen helpen bij het verder onderzoeken van de problemen die zich voordoen.

Stap 8: Dcdiag.exe

Met dcdiag kan je de algemene gezondheid van een domaincontroller testen. Draai deze test voor elke domaincontroller. Dcdiag is net als de meeste resource kit tools commandline-based, en zal voorzien in gerichte informatie om mee verder te troubleshooten.

Start een commandprompt, en type:

dcdiag /s:SERVERNAAM

Stap 9: Repadmin.exe

Repadmin is te vinden in de resource kit. Dit programma controleert de AD-replicatie, en zal je in gedetailleerde foutinformatie voorzien.

Voorbeeldcommando:

repadmin /showrepl /errorsonly

Stap 10: Netdiag.exe

Tekstje uitleg netdiag

Stap 11: Microsoft Baseline Security Analyzer (MBSA)

Tekst met uitleg mbsa

« ·^

Group policy problemen

Mochten er na het doorlopen van de bovenstaande stappen nog steeds group policies niet goed werken, zijn er nog een aantal opties.

Wijzigingen aanbrengen in de 'Default Domain Policy' en 'Default Domain Controllers Policy' wordt sterk afgeraden. Dit kan veel problemen veroorzaken!. Een aparte policy op het zelfde niveau toepassen is de beste weg.

Stap 12: Toepassing beleid verversen en controleren.

Om te controleren of group policy (bijvoorbeeld na een aanpassing) wel weer goed functioneert, kun je diverse testjes doen.

gpupdate

Voer het commando "gpupdate /force" uit om een directe verversing van het beleid te forceren. In Windows 2000 gebruik je "secedit /refreshpolicy machine_policy /enforce" (machine eventueel door user vervangen).

Als het verversen gelukt is, zul je een succes-event 1704 van bron SceCli zien in het Applicatie-eventlog. Anders uiteraard foutmeldingen.

Resultant Set of Policy

Het programma "Resultant Set of Policy (rsop.msc) geeft een grafisch overzicht van de toegepaste policyinstellingen, met vermelding van de policy welke de instelling bevat.

gpresult

Dit programma geeft een overzicht van toegepaste policy-objecten.

Userenv.log

Windows NT4 en nieuwer kunnen een uitgebreide log bijhouden van wat er tijdens een gebruikerssessie precies gebeurt. Deze optie is niet altijd standaard geactiveerd en kost op bijvoorbeeld terminal servers veel performance.

Hoe je deze logging inschakelt wordt uitgelegd in MSKB221833: How to enable user environment debug logging, en hoe deze logs het beste te interpreteren in Interpreting Userenv log files

Stap 13: Verifieeren met gpotool

Met de "gpotool.exe" uit de resource kit kun je de gezondheid van je group policies per domaincontroller bekijken.

gpotool.exe /gpo:PolicyNaam /dc:DcNaam

Ideaal zou er als resultaat "Status: OK" uit moeten komen. Herhaal dit voor elke policy met problemen.

Stap 14: Standaardpolicies met DcGpoFix herstellen

Mochten de fouten die je vindt niet op te lossen zijn, is het mogelijk de ingebouwde policies te herstellen. Hiervoor gebruiken we het programma 'dcgpofix' wat standaard in Windows aanwezig is. Voor Windows 2000 is 'recreatedefpol' te downloaden.

« ·^

Problemen met werkstations en andere ad-clients

Wanneer Windows clients niet goed kunnen verbinden met het domein, controleer dan onderstaande zaken. In principe kan elk OS met Active Directory verbinden, echter kunnen Windows besturingssystemen vanaf Windows 2000 optimaal gebruik maken van alle mogelijkheden.

Open het 'network connections' scherm en klik naar de eigenschappen van élke netwerkverbinding en verifieer:

Stap 15: Client netwerkkaart instellingen

Zorg ervoor dat "Client For Microsoft Networks", "File and Printer Sharing" en "TCP/IP (v4)" ingeschakeld zijn.als te zien in onderstaande afbeelding.
Verifieer dat zoals in de afbeelding hieronder de opties aangevinkt zijn:

Controleer op de domeincontroller zelf dat het vinkje aan staat voor "register this connections addreses in dns", alléén voor interfaces waarop de domaincontroller beschikbaar moet zijn.

Elk ander adres is fout! De servers van internetprovider, router, strijkijzer mogen niet op clients ingesteld worden!!! Dit regel je op de server, zie %link DNS en netwerkinstellingen server%hier.%link%

Stap 16: Vereisten voor oudere client-besturingssystemen

Als je oudere besturingssystemen gebruikt, let dan ook op het volgende:

  • Voor Windows 95 OSR2, Windows 98 (incl SE) is er de Active Directory Client (dsclient). Deze kan nodig zijn.
  • Windows NT 4.0 Service Pack 6 moet geinstalleerd zijn, ook voor NT4 is er de dsclient.
  • Windows 2000 vereist Service Pack 2 (?) om goed met alle functies van Server 2003 Active Directory om te gaan.
« ·^

Nuttige links en gebruikte tools

Stap 17: Links

Stap 18: Gebruikte tools

« ·^

Thanks to

Een ieder met suggesties, aanmerkingen please post! Hoe duidelijker hoe beter, alle hulp welkom :Y)

« ·^

Lijst met figuren

  • Geen figuren gevonden

[ Voor 255% gewijzigd door sanfranjake op 06-07-2007 21:39 ]

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

woensdag 4 juli 2007 17:36

Acties:

Verwijderd

Oe, suggesties welkom. Je hebt een hoop listitem-bolletjes waar niets achterstaat. Staat een beetje apart en nutteloos [/suggestie] :+

woensdag 4 juli 2007 17:36

Acties:
  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

Topicstarter
(overleden)
* sanfranjake slaat Floris met de shoarmapan })

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

woensdag 4 juli 2007 18:48

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Goed initiatief - puntje 1 is echter veel te veel tekst en daarmee te onduidelijk, daarnaast loopt de 1e zin niet lekker.

Puntje twee zal je moeten uitleggen - als mensen dat fout doen, gaan ze ook niet direct weten hoe dat op te lossen.

Puntje drie zou ik weg laten - we verwachten altijd van mensen dat ze zoeken ;)

woensdag 4 juli 2007 18:57

Acties:
  • moto-moi
  • Registratie: Juli 2001
  • Laatst online: 09-06-2011

moto-moi

Ja, ik haat jou ook :w

puntje 1 zou ik ff een klein screenshot bijzetten :)

God, root, what is difference? | Talga Vassternich | IBM zuigt

woensdag 4 juli 2007 19:09

Acties:
  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

Topicstarter
(overleden)
jups ik wil eigenlijk alles met screenshots doen, en de tekstjes zijn nog zwaar conceptueel. Ik neem jullie opmerkingen mee O+

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

donderdag 5 juli 2007 01:40

Acties:
  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

Topicstarter
(overleden)
zo. morgen verder

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

vrijdag 6 juli 2007 14:48

Acties:
  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

Topicstarter
(overleden)
en weer verder :P

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

dinsdag 10 juli 2007 18:57

Acties:
  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

Topicstarter
(overleden)
Reminder, druk de afgelopen dagen :X

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq