Divide et impera!

von Thomas Joos

Active-Directory-Domänen lassen sich über mehrere physische Standorte verteilen. Die Trennung der einzelnen AD-Standorte erfolgt dann durch IP-Subnetze. Diese müssen richtig konfiguriert sein, damit die Replikation funktioniert und sich Anwender an allen Niederlassungen anmelden können. Wir zeigen, wie Sie Standorte im AD anlegen und was es bei der Verwaltung der IP-Subnetze zu beachten gilt.

Ein wichtiger Bereich in der Verwaltung des Active Directory ist die Replikation der Domänencontroller (DC), vor allem über mehrere Standorte hinweg. Es ist nicht notwendig, für physische Standorte jeweils eigene Domänen zu erstellen – mehrere Domains sind in den meisten Fällen komplizierter zu verwalten als mehrere Standorte bei einer einzelnen AD-Domäne. Das Active Directory erkennt die physische Untergliederung und passt die Replikation auf diesen Sachverhalt an. So erfolgt etwa die AD-Replikation zwischen Standorten mit komprimierten Daten und weit weniger häufig als innerhalb eines lokalen Netzwerks.

Das Active Directory verwendet einen eigenen Dienst, der die Replikation innerhalb und zwischen Standorten automatisch steuert. Dieser Dienst, Konsistenzprüfung (Knowledge Consistency Checker, KCC) genannt, verbindet die Domänencontroller der verschiedenen Standorte und erstellt automatisch eine Replikationstopologie auf Basis von definierten Zeitplänen und Standortverknüpfungen.

Wenn in den einzelnen Standorten mehr als nur ein Domänencontroller zur Verfügung steht, werden zwischen den Standorten nicht alle DCs repliziert. Intelligente Mechanismen erkennen auch gruppierte DCs und steuern deren Replikation, sodass eine langsamere Leitung zwischen den Standorten nicht unnötig durch die AD-Replikation gestört wird. An jedem Standort gibt es "Bridgehead-Server", die die Informationen ihres AD-Standorts an die Bridgehead-Server der anderen Standorte weitergeben. Dadurch lässt sich der Daten-Traffic ebenfalls minimieren, da nicht mehr alle Domänencontroller Daten nach extern versenden.

Grundlagen der AD-Replikation

Damit Sie die Replikation zwischen Standorten nutzen können, müssen Sie Letztere zunächst definieren und diesen im Anschluss voneinander unabhängige IP-Subnetze zuweisen. Diese Subnetze werden in der Active-Directory-Verwaltung hinterlegt und dienen fortan zur Unterscheidung der Standorte. Danach stellen Sie dazwischen Verknüpfungen her und verteilen schließlich die bereits vorhandenen Domänencontroller auf die einzelnen Lokalitäten. Zu einer derartigen Routing-Topologie gehört abschließend noch die Konfiguration von Zeitplänen und Kosten für eine optimale Replikation.

Das dazu notwendige Verwaltungswerkzeug ist das Snap-In "Active Directory-Standorte und -Dienste". Sie starten es auf Domänencontrollern oder auf Computern mit den Remote Server Administration Tools (RSAT) am schnellsten über dssite.msc. Natürlich können Sie auch die PowerShell verwenden. Um neue Standorte zu erstellen, müssen Sie Mitglied der Gruppe "Organisations-Administratoren" sein.

Haben Sie Standorte und die dazugehörigen Subnetze definiert, werden zukünftig DCs abhängig von ihrer IP-Adresse automatisch der Niederlassung zugewiesen, zu dessen Subnetz die IP-Adresse gehört. Bereits vorhandene Domänencontroller oder bereits einer Lokalität zugewiesene Server müssen Sie nachträglich den korrekten Standorten zuweisen. Sie können diese auch schon während der Heraufstufung von DCs bestimmen.

Es ist nicht notwendig, dass jeder Standort mit der Zentrale über eine Sterntopologie angebunden ist. Die Replikation im AD erlaubt ferner die Anbindung von Standorten, die zwar mit anderen Lokalitäten verbunden sind, nicht aber mit der Zentrale. Diese passende Steuerung kann das Active Directory vornehmen – vorausgesetzt Sie haben die Standorte und Subnetzen korrekt definiert.

Erstellen von neuen Standorten

Wenn Sie das Snap-In "Active Directory-Standorte und -Dienste" öffnen, sehen Sie unterhalb des Eintrags "Sites" als ersten Standort die Bezeichnung "Standardname-des-ersten-Standorts". Einen Standort gibt es im AD daher automatisch immer. Im ersten Schritt ist es sinnvoll, diesem einen sprechenden Namen zuzuweisen. Das lässt sich über das Kontextmenü erledigen.

Als Nächstes erzeugen Sie die weiteren Standorte, an denen Sie Domänencontroller installieren wollen. Klicken Sie dazu mit der rechten Maustaste im Snap-In auf "Sites" und wählen Sie im Kontextmenü den Eintrag "Neuer Standort" aus. In der PowerShell nutzen Sie den Befehl New-ADReplicationSite <Standort>. An dieser Stelle sind zunächst keine umfassenden Konfigurationen notwendig und wenn kein Domänencontroller am Standort positioniert ist, beeinträchtigt das Anlegen von Standorten auch nicht die Replikation im Active Directory.

Beim Erstellen eines neuen Standorts per Snap-In öffnet sich ein Fenster, in dem Sie dessen Namen sowie die Standortverknüpfung festlegen. Über die Verknüpfung steuern Sie die Replikation. Die Einstellungen dazu lassen sich jederzeit ändern. Standardmäßig gibt es bereits die Verknüpfung "DEFAULTIPSITELINK". Mit einer CSV-Datei, die mit der Zeile "name" beginnt, legen Sie eine Liste von Standorten an. Diese lässt sich dann mit dem Befehl Import-Csv -Path C:\newsites.csv | New-ADReplicationSite importieren.

Erzeugen von IP-Subnetzen

Nach dem Schaffen der Standorte legen Sie die IP-Subnetze an und weisen diese dem jeweiligen Standort zu. Um ein neues Subnetz zu erstellen, klicken Sie mit der rechten Maustaste im Snap-In auf "Subnets" und wählen im Kontextmenü den Befehl "Neues Subnetz" aus.

Falls gewünscht, können Sie Subnetze auf IPv6-Basis erzeugen. Nachdem Sie das Subnetz angelegt haben, zeigt die Konsole es unterhalb des gleichnamigen Menüpunkts an. Auch IP-Subnetze, in denen keine Domänencontroller installiert sind, aber unter Umständen Mitgliedsrechner laufen, die sich bei dem DC anmelden, sollten Sie an dieser Stelle anlegen und dem entsprechenden Standort zuweisen.

Wenn Sie "Subnets" anklicken, sehen Sie auf der rechten Seite alle IP-Subnetze und die ihnen zugewiesenen Standorte. Die Zuweisung des Subnetzes zu einem bestimmten Standort können Sie jederzeit in den Eigenschaften der Subnetze vornehmen. Es lassen sich nachträglich Standorte erstellen und neue Subnetze vorhandenen Lokalitäten zuweisen.

Anlegen von Standortverknüpfungen

Nachdem Sie Standorte und die dort vorhandenen IP-Subnetze angelegt haben, sind die Standortverknüpfungen an der Reihe. Setzen Sie unterschiedliche Bandbreiten bei Ihren Leitungen ein, kann es Sinn ergeben, verschiedene Standortverknüpfungen zu erstellen. Sie können dann auf Basis jeder Standortverknüpfung einen Zeitplan festlegen, wann die Replikation möglich ist. Standortverknüpfungen erstellen Sie auf Basis von IP oder SMTP. In den meisten Fällen kommt die Auswahl "IP" zum Einsatz.

Um eine neue Standortverknüpfung zu etablieren, klicken Sie mit der rechten Maustaste auf "IP" unterhalb von "Inter-Site Transports" und wählen im Kontextmenü den Eintrag "Neue Standortverknüpfung" aus. Beim Zuweisen des Namens verwenden Sie am besten eine Bezeichnung, die Rückschlüsse auf die jeweiligen Standorte zulässt, zum Beispiel "Berlin Frankfurt" oder die Art der Verbindung zwischen den verschiedenen Niederlassungen. Sie bestimmen an dieser Stelle weiterhin, welche Standorte mit dieser Standortverknüpfung verbunden sein sollen. Ein Standort kann Mitglied mehrerer Verknüpfungen sein.

Die Replikation findet über diejenigen Standortverknüpfungen statt, deren Kosten am geringsten definiert sind. Klicken Sie "IP" an, sehen Sie auf der rechten Seite die Standortverknüpfungen. Haben Sie die Standortverknüpfung erstellt, lassen sich deren Eigenschaften jederzeit anpassen. Auf der Registerkarte "Allgemein" legen Sie fest, in welchem Intervall Sie die Informationen zwischen den Standorten replizieren wollen. Standardmäßig ist die Replikation auf drei Stunden und die Kosten auf "100" eingestellt. Klicken Sie auf die Schaltfläche "Zeitplan ändern", können Sie festlegen, zu welchen Zeiten die Replikation über diese Standortverknüpfung möglich ist.

Sogenannte Standortverknüpfungsbrücken lassen sich an dieser Stelle ebenfalls anlegen. Diese verwendet das AD, wenn zwischen zwei Standorten keine physische Verbindung besteht, aber beide über einen dritten Standort angebunden sind, über den die Replikation im Active Directory erfolgen soll. Diese Brücken werden automatisch erstellt. Wollen Sie dies manuell tun, müssen Sie den Automatismus deaktivieren. Dies funktioniert, indem Sie in den Eigenschaften von "IP" den Punkt "Inter-Site Transports" aufrufen und "Brücke zwischen allen Standortverknüpfungen herstellen" deaktivieren.

Außerdem sind Standortverknüpfungen über die PowerShell möglich. Ein Beispiel hierfür ist:

Die Kosten und den Zeitrahmen der Synchronisierung definieren Sie ebenfalls in der PowerShell:

Zuweisen von Domänencontrollern

Bereits installierte Domänencontroller müssen Sie manuell an den richtigen Standort verschieben. Klicken Sie dazu den Server im Snap-In "Active Directory-Standorte und -Dienste" mit der rechten Maustaste an und wählen Sie im Kontextmenü die Option "Verschieben" aus. DCs lassen sich auch per PowerShell an neue Standorte verschieben:

Domänencontroller lassen sich zudem per Drag&Drop an einen anderen Standort verschieben. Die Replikationsverbindungen richtet Windows automatisch ein. Sie sehen diese im Snap-In über "Sites/ <Standort>/<Servers>/<Servername>/NTDS-Settings". Sie können hier manuelle Verbindungen einrichten, indem Sie über das Kontextmenü "Neue Verbindung" für die Active-Directory-Domänendienste auswählen.

Die Replikationsverbindungen lassen sich auch in der PowerShell darstellen. Dazu verwenden Sie den Befehl Get-ADReplicationConnection. Ausführliche Informationen zu den einzelnen Standorten erhalten Sie mit Get-ADReplicationSite -Filter *. Um sich nur den Namen anzeigen zu lassen, verwenden Sie Get-ADReplicationSite -Filter * | ft Name, eine Liste der Domänencontroller und Standorte erhalten Sie mit Get-ADDomainController -Filter * | ft Hostname,Site.

Sollten Replikationsprobleme im Active Directory auftreten, stellen Sie zunächst sicher, dass die DCs, die Schwierigkeiten bei der Replikation haben, für den richtigen Standort konfiguriert sind. Hierzu tippen Sie in der Eingabeaufforderung den Befehl nltest /dsgetsite ein.

Konsistenzprüfung per Knowledge Consistency Checker

Haben Sie die Routing-Topologie einmal erstellt, etabliert der Knowledge Consistency Checker die Verbindungen zwischen den Domänencontrollern automatisch. Der KCC konfiguriert auf Basis der Standorte, der Verknüpfungen und deren Zeitpläne und Kosten sowie der enthaltenen DCs automatisch die AD-Replikation. Der Dienst läuft vollkommen automatisch auf jedem Domänencontroller der Gesamtstruktur. Er verbindet nicht jeden DC mit jedem anderen, sondern erzeugt eine intelligente Topologie.

Der KCC überprüft die vorhandenen Verbindungen alle 15 Minuten auf ihre Funktionalität und ändert bei Bedarf automatisch die Replikationstopologie. Innerhalb eines Standorts erstellt der Dienst möglichst eine Ringtopologie, wobei zwischen zwei unterschiedlichen Domänencontrollern maximal drei andere DCs stehen sollten.

Zwischen verschiedenen Standorten werden die AD-Daten nicht wie schon erwähnt von allen Domänencontrollern auf die anderen DCs der Standorte übertragen, sondern immer jeweils nur von einem DC. Dieser Bridgehead-Server repliziert sich mit denen der anderen Standorte automatisch. Am jeweiligen Standort replizieren sich die Domänencontroller wieder untereinander. Der KCC legt automatisch fest, welche DCs in einer Niederlassung zum Bridgehead-Server werden. Die eigentliche Auswahl der Bridgehead-Server an einem Standort übernimmt der "Intersite Topology Generator" (ISTG), der Bestandteil des KCC ist.

ISTG richtig konfigurieren

Wenn Sie einen Standort im Snap-In anklicken, erscheint auf der rechten Seite der Eintrag "NTDS Site Settings". Rufen Sie die Eigenschaften dieses Eintrags auf, sehen Sie im Abschnitt "Generator für standortübergreifende Topologie" den derzeitigen ISTG.

An dieser Stelle können Sie auch die Option "Zwischenspeichern der universellen Gruppenmitgliedschaft aktivieren" anpassen. Die Gruppenmitgliedschaft dieser Gruppen ist Bestandteil des globalen Katalogs im Active Directory. Wenn Sie am Standort keinen globalen Katalog betreiben, lassen sich andere Domänencontroller über diese Option so konfigurieren, dass sie diese Mitgliedschaften speichern. Haben Sie Änderungen an der Routingtopologie durchgeführt, besteht die Möglichkeit, diese sofort in Betrieb zu nehmen. Gehen Sie dazu folgendermaßen vor:

1. Öffnen Sie das Snap-In "Active Directory-Standorte und -Dienste".

2. Navigieren Sie im Anschluss zu dem Standort, von dem aus Sie die Überprüfung starten möchten.

3. Klicken Sie auf den derzeitigen ISTG-Rolleninhaber des Standorts.

4. Klicken Sie mit der rechten Maustaste auf "NTDS-Settings" und wählen Sie im Kontextmenü "Alle Aufgaben / Replikationstopologie überprüfen" aus.

Wählen Sie eine Verbindung mit der rechten Maustaste aus, können Sie die Replikation zu diesem Server mit der Option "Jetzt replizieren" sofort durchführen. Starten Sie die Replikation zu einem Domänencontroller, der an einem anderen Standort positioniert ist, beginnt die Replikation allerdings nicht sofort, sondern erst zum nächsten Zeitpunkt, den der Zeitplan zulässt. Bevor er Daten repliziert, stellt der Domänencontroller zunächst sicher, ob er eine Verbindung zu dem anderen DC herstellen kann. Die erfolgreiche Verbindung zeigt der Server an. Ist der Replikationspartner nicht erreichbar, kommt es zu einer Fehlermeldung.

Fehler bei der AD-Replikation beheben

Bei Problemen mit der AD-Replikation sollte immer eine vollständige Diagnose der Domänencontroller erfolgen. Fertigen Sie am besten eine einfache Skizze der Replikationsverbindungen der DCs an und halten Sie genau fest, welche Domänencontroller sich nicht mehr mit welchen anderen DCs replizieren können. Mit Hilfe einer solchen Skizze erkennen Sie meist recht schnell, welcher Domänencontroller die Hauptursache für das Problem ist. Auf diesen werfen Sie dann einen genaueren Blick und testen, ob er innerhalb seines Standorts funktioniert. Der nächste Schritt sollte der Blick in die Ereignisanzeige und das Protokoll "Verzeichnisdienst" sein. Achten Sie vor allem auf Fehler von NTDS KCC, NTDS Replication oder NTDS General.

Auch mit der PowerShell können Sie bequem auf Fehlersuche gehen. Dafür stehen im AD die bekannten Tools repadmin, dcdiag, nltest und andere zur Verfügung. Wie eine solche Problemfindung genau aussehen kann, zeigt Microsoft auf [1]. Bevor Sie mit Tools die Replikation genauer untersuchen, sollten Sie aber zunächst die gravierendsten und häufigsten Fehlerursachen ausschließen:

- Liegt auf dem Domänencontroller, der sich nicht mehr replizieren kann, ein generelles Problem vor, das sich mit dcdiag herausfinden lässt? Sind die Probleme also vielleicht nicht in der Replikation begründet, sondern hat der DC eine Funktionsstörung?

- Wurde auf dem Domänencontroller eine Software installiert, die die Replikation stören kann, etwa Sicherheitssoftware, Virenscanner, Firewall oder Sonstiges?

- Ist auf dem DC, mit dem die Replikation nicht mehr stattfinden kann, Hardware ausgefallen?

- Liegt evetuell nur ein Leitungs-, Router- oder Firewallproblem vor?

- Lässt sich der entsprechende Domänencontroller noch anpingen und der DNS-Name des Servers auflösen?

- Gibt es generelle Probleme mit der Authentifizierung zwischen den DCs, die durch "Zugriff verweigert"-Meldungen protokolliert werden?

- Sind die Replikationsintervalle zwischen Standorten so kurz eingestellt, dass die vorherige Replikation noch nicht abgeschlossen ist und die nächste bereits beginnt?

- Wurden Änderungen an der Routingtopologie vorgenommen, die eine Replikation verhindern können?

Das wichtigste Tool, um die Replikation im AD zu überprüfen, ist repadmin. Geben Sie zunächst in der Eingabeaufforderung den Befehl repadmin /showreps ein. Es erscheinen dann alle durchgeführten Replikationsvorgänge des Active Directory sowie etwaige Fehler, die auf die Ursache für eine nicht funktionierende Replikation hinweisen. Um nur Fehler anzuzeigen, verwenden Sie repadmin /showrepl /errorsonly. Mit repadmin /showreps >c:\repl.txt lassen Sie sich die Anzeige in eine Datei umleiten. Mit repadmin /showreps * /csv > reps.csv landen die Replikationsinformationen in einer CSV-Datei.

Funktioniert eine Replikationsverbindung nicht, müssen Sie für jeden Server die Server-GUID auslesen. Dazu geben Sie den Befehl repadmin /showreps ein. Jeder Server zeigt im Fenster die DSA-Objekt-GUID an. Auf diese müssen Sie für das Hinzufügen einer Verbindung zurückgreifen. Die GUID verwenden Sie anschließend mit dem Befehl repadmin /add. Der Domänennamen für unser Beispiel ist "contoso.int". Die Server-GUIDs für die beiden DCs lauten

Löschen Sie im Snap-In "Active-Directory-Standorte und -Dienste" alle Verbindungsobjekte. Erstellen Sie als Nächstes eine neue Verbindung vom defekten DC zu einem funktionierenden DC. Der Befehl lautet folgendermaßen:

In Ihrer Umgebung verwenden Sie natürlich Ihre eigenen Server-GUIDs und Ihren eigenen Domänennamen. Der Rest der Eingabe ist identisch. Während dieser Aktion kann es passieren, dass Sie den Fehler "8441 (distinguished name already exists)" erhalten. In diesem Fall ist die Verbindung schon vorhanden. Führen Sie eine vollständige Replikation über die erstellte Verbindung durch:

Stellen Sie danach im Snap-In sicher, dass es wieder automatisch generierte Verbindungsobjekte von der defekten Maschine zum funktionierenden DC gibt. Um Fehler auf Basis der Replikationsziele anzuzeigen, ist das Kommando repadmin /replsummary /bydest nützlich. Wollen Sie die Fehler auf Basis der Replikationsquellen zu den Zielen anzeigen, greift repadmin /replsummary /bysrc. Dadurch ergibt sich schnell ein Bild, welche ein- und ausgehenden Replikationen nicht richtig funktionieren. Ob auf einem DC Replikationen ausgesetzt sind, weil keine Kommunikation mit anderen Domänencontrollern möglich ist, lässt sich mit repadmin /queue ebenfalls testen. Funktioniert die Replikation, sollte die Queue abgearbeitet werden und gegen Null laufen.

Replikation mit der PowerShell testen

Den Status der Replikation erfahren Sie auch mit der PowerShell. Dazu verwenden Sie Get-ADReplicationUpToDatenessVectorTable <Name des Servers>. Eine Liste aller Server erhalten Sie mit

So lassen sich die einzelnen Standorte und deren Domänencontroller anzeigen:

Mit dem Cmdlet "Get-ADReplicationFailure" steht ein Befehl zur Verfügung, mit dem sich in der PowerShell nach Replikationsfehlern suchen lässt. Das Cmdlet benötigt noch den Parameter "-Target" und den Namen des zu überprüfenden Domänencontrollers. Ein Beispiel ist:

Wollen Sie mehrere Domänencontroller kontrollieren, fügen Sie die Namen mit Komma getrennt an. Als Target kann auch eine komplette Gesamtstruktur im Active Directory Verwendung finden:

Fazit

Die Verwaltung der Subnetze spielt im Active Directory eine wichtige Rolle. Es ist schlussendlich einfacher für die Administration des AD, wenn sich eine Domäne über mehrere Standorte erstreckt und Sie nicht für jede Niederlassung eine eigene Domäne erstellen müssen. Die Konfiguration der Subnetze ist keine komplizierte Sache, erfordert aber sorgfältiges Vorgehen. In Windows Server 2022 sind die Vorgänge übrigens genauso geregelt wie in den Vorgängerversionen.

Active-Directory-Standorte und -Subnetze