Überprüfen der DNS-Funktionalität zur Unterstützung der Verzeichnisreplikation

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Um die Domain Name System (DNS) zu überprüfen, die die Active Directory-Replikation beeinträchtigen könnten, können Sie zunächst den grundlegenden Test ausführen, der sicherstellt, dass DNS für Ihre Domäne ordnungsgemäß funktioniert. Nachdem Sie den grundlegenden Test ausgeführt haben, können Sie andere Aspekte der DNS-Funktionalität testen, einschließlich der Ressourcendatensatzregistrierung und der dynamischen Aktualisierung.

Obwohl Sie diesen Test der grundlegenden DNS-Funktionalität auf jedem Domänencontroller ausführen können, führen Sie diesen Test in der Regel auf Domänencontrollern aus, von denen Sie glauben, dass Replikationsprobleme bestehen, z. B. Domänencontroller, die die Ereignis-IDs 1844, 1925, 2087 oder 2088 im DNS-Protokoll des Ereignisanzeige-Verzeichnisdiensts melden.

Ausführen des grundlegenden DNS-Tests des Domänencontrollers

Der grundlegende DNS-Test überprüft die folgenden Aspekte der DNS-Funktionalität:

  • Verbindung: Der Test bestimmt, ob Domänencontroller im DNS registriert sind, ping vom Befehl kontaktiert werden können und über LDAP/RPC-Konnektivität (Lightweight Directory Access Protocol/Remoteprozeduraufruf) verfügen. Wenn der Konnektivitätstest auf einem Domänencontroller fehlschlägt, werden keine anderen Tests für diesen Domänencontroller ausgeführt. Der Konnektivitätstest wird automatisch ausgeführt, bevor ein anderer DNS-Test ausgeführt wird.
  • Wichtige Dienste: Der Test bestätigt, dass die folgenden Dienste auf dem getesteten Domänencontroller ausgeführt werden und verfügbar sind: DNS-Clientdienst, Net Logon-Dienst, Schlüsselverteilungscenter-Dienst (KDC) und DNS-Serverdienst (wenn DNS auf dem Domänencontroller installiert ist).
  • DNS-Clientkonfiguration: Der Test bestätigt, dass DNS-Server auf allen Netzwerkadaptern des DNS-Clientcomputers erreichbar sind.
  • Ressourcendatensatzregistrierungen: Der Test bestätigt, dass der Ressourcendatensatz des Hosts (A) jedes Domänencontrollers auf mindestens einem der DNS-Server registriert ist, der auf dem Clientcomputer konfiguriert ist.
  • Zone and start of authority (SOA): Wenn auf dem Domänencontroller der DNS-Serverdienst ausgeführt wird, bestätigt der Test, dass die Active Directory-Domänenzone und der SOA-Ressourcendatensatz (Start of Authority) für die Active Directory-Domänenzone vorhanden sind.
  • Stammzone: Überprüft, ob die Stammzone (.) vorhanden ist.

Sie müssen mindestens Mitglied der Gruppe Organisations-Admins oder einer entsprechenden Gruppe sein, um diese Verfahren auszuführen.

Mit dem folgenden Verfahren können Sie die grundlegende DNS-Funktionalität überprüfen.

So überprüfen Sie die grundlegende DNS-Funktionalität:

  1. Öffnen Sie auf dem Domänencontroller, den Sie testen möchten, oder auf einem Domänenmitgliedscomputer, auf dem Active Directory Domain Services-Tools (AD DS) installiert sind, eine Eingabeaufforderung als Administrator. Klicken Sie zum Öffnen einer Eingabeaufforderung als Administrator auf Start.

  2. Geben Sie in Suche starten Command Prompt ein.

  3. Klicken Sie am oberen Rand des Menüs Start mit der rechten Maustaste auf Eingabeaufforderung, und klicken Sie dann auf Als Administrator ausführen. Wenn das Dialogfeld Benutzerkontensteuerung angezeigt wird, vergewissern Sie sich, dass die gewünschte Aktion angezeigt wird, und klicken Sie dann auf Weiter.

  4. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: dcdiag /test:dns /v /s:<DCName> /DnsBasic /f:dcdiagreport.txt

    Ersetzen Sie dcName durch den tatsächlichen Distinguished Name, NetBIOS-Namen oder DNS-Namen <des Domänencontrollers.> Alternativ können Sie alle Domänencontroller in der Gesamtstruktur testen, indem Sie /e: anstelle von /s: eingeben. Der Schalter /f gibt einen Dateinamen an, der im vorherigen Befehl dcdiagreport.txt. Wenn Sie die Datei an einem anderen Speicherort als dem aktuellen Arbeitsverzeichnis platzieren möchten, können Sie einen Dateipfad angeben, z. B. /f:c:reportsdcdiagreport.txt.

  5. Öffnen Sie dcdiagreport.txt-Datei in Editor oder einem ähnlichen Text-Editor. Um die Datei in Editor öffnen, geben Sie an der Eingabeaufforderung editor dcdiagreport.txt ein, und drücken Sie dann die EINGABETASTE. Wenn Sie die Datei in einem anderen Arbeitsverzeichnis platziert haben, fügen Sie den Pfad zur Datei ein. Wenn Sie die Datei beispielsweise in c:reports platziert haben, geben Sie Editor c:reportsdcdiagreport.txt ein, und drücken Sie dann die EINGABETASTE.

  6. Scrollen Sie zur Tabelle Zusammenfassung am unteren Rand der Datei.

    Notieren Sie sich die Namen aller Domänencontroller, die den Status "Warnen" oder "Fehler" in der Tabelle Zusammenfassung melden. Versuchen Sie zu ermitteln, ob ein Problem mit dem Domänencontroller besteht, indem Sie den detaillierten Breakoutabschnitt suchen, indem Sie nach der Zeichenfolge "DC: DCName" suchen, wobei DCName der tatsächliche Name des Domänencontrollers ist.

Wenn offensichtliche Erforderliche Konfigurationsänderungen angezeigt werden, sollten Sie diese nach Bedarf vornehmen. Wenn Sie beispielsweise feststellen, dass einer Ihrer Domänencontroller über eine offensichtlich falsche IP-Adresse verfügt, können Sie sie korrigieren. Führen Sie dann den Test erneut aus.

Um die Konfigurationsänderungen zu überprüfen, führen Sie den Befehl Dcdiag /test:DNS /v mit dem Schalter /e: oder /s: erneut aus. Wenn auf dem Domänencontroller keine IP-Version 6 (IPv6) aktiviert ist, sollten Sie davon ausgehen, dass der Überprüfungsteil des Hosts (AAAA) des Tests fehlschlägt. Wenn Sie jedoch IPv6 in Ihrem Netzwerk nicht verwenden, sind diese Datensätze nicht erforderlich.

Überprüfen der Ressourcendatensatzregistrierung

Der Zieldomänencontroller verwendet den DNS-Aliasressourcendatensatz (CNAME), um seinen Replikationspartner für den Quelldomänencontroller zu suchen. Obwohl Domänencontroller, auf denen Windows Server ausgeführt wird (ab Windows Server 2003 mit Service Pack 1 (SP1)), Quellreplikationspartner mithilfe vollqualifizierter Domänennamen (FQDNs) suchen können, oder wenn dies fehlschlägt, werden NetBIOS-Namendas Vorhandensein des Aliasressourcendatensatz (CNAME) erwartet und sollten auf ordnungsgemäße DNS-Funktion überprüft werden.

Sie können das folgende Verfahren verwenden, um die Ressourcendatensatzregistrierung zu überprüfen, einschließlich der Registrierung von Aliasressourcendatensatz (CNAME).

So überprüfen Sie die Ressourcendatensatzregistrierung

  1. Öffnen Sie eine Eingabeaufforderung als Administrator. Klicken Sie zum Öffnen einer Eingabeaufforderung als Administrator auf Start. Geben Sie in Suche starten Command Prompt ein.
  2. Klicken Sie am oberen Rand des Menüs Start mit der rechten Maustaste auf Eingabeaufforderung, und klicken Sie dann auf Als Administrator ausführen. Wenn das Dialogfeld Benutzerkontensteuerung angezeigt wird, vergewissern Sie sich, dass die gewünschte Aktion angezeigt wird, und klicken Sie dann auf Weiter.

    Sie können das Dcdiag-Tool verwenden, um die Registrierung aller Ressourceneinträge zu überprüfen, die für den Standort des Domänencontrollers wichtig sind, indem Sie den Befehl dcdiag /test:dns /DnsRecordRegistration ausführen.

Mit diesem Befehl wird die Registrierung der folgenden Ressourceneinträge in DNS überprüft:

  • alias (CNAME): Der GUID-basierte Ressourcendatensatz (Globally Unique Identifier), der einen Replikationspartner sucht.
  • Host (A): Der Hostressourcendatensatz, der die IP-Adresse des Domänencontrollers enthält.
  • LDAP-SRV: Die Ressourceneinträge des Diensts (SRV), die LDAP-Server suchen
  • GC SRV: Die Ressourceneinträge des Diensts (SRV), die globale Katalogserver suchen
  • PDC SRV: Die Ressourceneinträge des Diensts (SRV), mit denen Betriebsmaster des primären Domänencontrollers (PDC)-Emulators gefunden werden.

Sie können das folgende Verfahren verwenden, um die Alias-Ressourcendatensatzregistrierung (CNAME) allein zu überprüfen.

So überprüfen Sie die Registrierung des Aliasressourcendatensatz (CNAME)

  1. Öffnen Sie das DNS-Snap-In. Klicken Sie auf Starten, um DNS zu öffnen. Geben Sie in Suche starten den Namen dnsmgmt.msc ein, und drücken Sie dann die EINGABETASTE. Wenn das Dialogfeld Benutzerkontensteuerung angezeigt wird, bestätigen Sie, dass die von Ihnen wünschen Aktion angezeigt wird, und klicken Sie dann auf Weiter.
  2. Verwenden Sie das DNS-Snap-In, um alle Domänencontroller zu suchen, auf denen der DNS-Serverdienst ausgeführt wird, auf dem der Server die DNS-Zone mit demselben Namen hostet wie die Active Directory-Domäne des Domänencontrollers.
  3. Klicken Sie in der Konsolenstruktur auf die Zone mit dem Namen _msdcs. Dns_Domain_Name.
  4. Überprüfen Sie im Detailbereich, ob die folgenden Ressourcendatensätze vorhanden sind: ein Aliasressourcendatensatz (CNAME) mit dem Namen Dsa_Guid._msdcs.<> Dns_Domain_Name und einen entsprechenden Hostressourcendatensatz (A) für den Namen des DNS-Servers.

Wenn der Aliasressourcendatensatz (CNAME) nicht registriert ist, überprüfen Sie, ob das dynamische Update ordnungsgemäß funktioniert. Verwenden Sie den Test im folgenden Abschnitt, um das dynamische Update zu überprüfen.

Überprüfen des dynamischen Updates

Wenn der grundlegende DNS-Test zeigt, dass Ressourceneinträge in DNS nicht vorhanden sind, verwenden Sie den dynamischen Updatetest, um zu ermitteln, warum der Net Logon-Dienst die Ressourceneinträge nicht automatisch registriert hat. Um sicherzustellen, dass die Active Directory-Domänenzone so konfiguriert ist, dass sichere dynamische Updates akzeptiert werden, und um die Registrierung eines Testdatensatz (_dcdiag_test_record) durchzuführen, führen Sie das folgende Verfahren aus. Der Testdatensatz wird nach dem Test automatisch gelöscht.

So überprüfen Sie das dynamische Update

  1. Öffnen Sie eine Eingabeaufforderung als Administrator. Klicken Sie zum Öffnen einer Eingabeaufforderung als Administrator auf Start. Geben Sie in Suche starten Command Prompt ein. Klicken Sie am oberen Rand des Menüs Start mit der rechten Maustaste auf Eingabeaufforderung, und klicken Sie dann auf Als Administrator ausführen. Wenn das Dialogfeld Benutzerkontensteuerung angezeigt wird, vergewissern Sie sich, dass die gewünschte Aktion angezeigt wird, und klicken Sie dann auf Weiter.
  2. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: dcdiag /test:dns /v /s:<DCName> /DnsDynamicUpdate

    Ersetzen Sie dcName durch den Distinguished Name, den NetBIOS-Namen oder den DNS-Namen <des Domänencontrollers.> Alternativ können Sie alle Domänencontroller in der Gesamtstruktur testen, indem Sie /e: anstelle von /s: eingeben. Wenn IPv6 auf dem Domänencontroller nicht aktiviert ist, sollten Sie davon ausgehen, dass der Teil des Hostressourcendatensatz (AAAA) des Tests fehlschlägt. Dies ist eine normale Bedingung, wenn IPv6 nicht aktiviert ist.

Wenn keine sicheren dynamischen Updates konfiguriert sind, können Sie sie mithilfe des folgenden Verfahrens konfigurieren.

So aktivieren Sie sichere dynamische Updates

  1. Öffnen Sie das DNS-Snap-In. Klicken Sie auf Starten, um DNS zu öffnen.
  2. Geben Sie in Suche starten den Namen dnsmgmt.msc ein, und drücken Sie dann die EINGABETASTE. Wenn das Dialogfeld Benutzerkontensteuerung angezeigt wird, vergewissern Sie sich, dass die von Ihnen wünschen Aktion angezeigt wird, und klicken Sie dann auf Weiter.
  3. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf die zutreffende Zone, und klicken Sie dann auf Eigenschaften.
  4. Überprüfen Sie auf der Registerkarte Allgemein, ob der Zonentyp in Active Directory integriert ist.
  5. Klicken Sie unter Dynamische Updates auf Nur sichern.

Registrieren von DNS-Ressourceneinträgen

Wenn DNS-Ressourceneinträge nicht im DNS für den Quelldomänencontroller angezeigt werden, Sie dynamische Updates überprüft haben und DNS-Ressourceneinträge sofort registrieren möchten, können Sie die Registrierung mithilfe des folgenden Verfahrens manuell erzwingen. Der Net Logon-Dienst auf einem Domänencontroller registriert die DNS-Ressourceneinträge, die für den Domänencontroller im Netzwerk erforderlich sind. Der DNS-Clientdienst registriert den Ressourcendatensatz des Hosts (A), auf den der Aliasdatensatz (CNAME) verweist.

So registrieren Sie DNS-Ressourceneinträge manuell

  1. Öffnen Sie eine Eingabeaufforderung als Administrator. Klicken Sie zum Öffnen einer Eingabeaufforderung als Administrator auf Start.
  2. Geben Sie in Suche starten Command Prompt ein.
  3. Klicken Sie oben in der Startleiste mit der rechten Maustaste auf Eingabeaufforderung, und klicken Sie dann auf Als Administrator ausführen. Wenn das Dialogfeld Benutzerkontensteuerung angezeigt wird, vergewissern Sie sich, dass die gewünschte Aktion angezeigt wird, und klicken Sie dann auf Weiter.
  4. Um die Registrierung von Ressourceneinträgen des Domänencontrollerlocator manuell auf dem Quelldomänencontroller zu initiieren, geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: net stop netlogon && net start netlogon
  5. Um die Registrierung des Ressourcendatensatz des Hosts (A) manuell zu initiieren, geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: ipconfig /flushdns && ipconfig /registerdns
  6. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: dcdiag /test:dns /v /s:<DCName>

    Ersetzen Sie dcName durch den Distinguished Name, den NetBIOS-Namen oder den DNS-Namen <des Domänencontrollers.> Überprüfen Sie die Ausgabe des Tests, um sicherzustellen, dass die DNS-Tests erfolgreich waren. Wenn IPv6 auf dem Domänencontroller nicht aktiviert ist, sollten Sie davon ausgehen, dass der Teil des Hostressourcendatensatz (AAAA) des Tests fehlschlägt. Dies ist eine normale Bedingung, wenn IPv6 nicht aktiviert ist.