Wie kann man kontrollieren, ob ein Domänencontroller auf dem der globale Katalog aktiviert wurde, auch als solcher agiert?
Der globale Katalog lässt sich bekanntermaßen im Snap-In „Active Directory-Standorte und –Dienste“ aktivieren. Aktivieren lässt er sich auch
mit REPADMIN (aus den Windows Support Tools). Der Befehl dazu lautet: REPADMIN /OPTIONS <DC> +IS_GC. Wer gerne ein Skript dazu verwenden möchte,
kann dieses ebenfalls tun oder verwendet z.B. dieses:
Enable a Global Catalog Server
In den meisten Fällen aber, wird das Snap-In verwendet. Der erste Blick sollte also an dieser Stelle (dssite.msc) geschehen, ob dort der Haken gesetzt ist.
Was aber, wenn der Haken bei Globaler Katalog existiert und der Domänencontroller trotzdem nicht als GC fungiert bzw. reagiert?
Der Domänencontroller auf dem der GC aktiviert wurde, gibt sich als solcher erst im Active Directory bekannt, nachdem er die Replikation aller
Domänenpartitionen die es in der Gesamtstruktur gibt, von seinen Replikationspartnern erhalten hat. Der GC hält eine beschreibbare Domänenpartition
der Domäne, in der er selbst Mitglied ist. Sowie schreibgeschützte Domänenpartitionen aller Domänen, die sich in der gleichen Gesamtstruktur befinden.
Bekannt geben heißt an dieser Stelle, dass der Domänencontroller dynamisch seine SRV-Einträge im DNS registriert.
Wird der Haken „Globaler Katalog“ in den Eigenschaften von NTDS Setting`s des jeweiligen DCs gesetzt, wird im Verzeichnisdienstprotokoll die Information
mit der Event-ID 1110 protokolliert. Standardmäßig wird das Intervall von fünf Minuten abgewartet, bevor der DC sich selbst als GC bekannt gibt.
In dieser Zeit werden die Informationen für den GC repliziert. Das Verhalten der Verzögerung lässt sich mit dem Registry-Eintrag
„HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Global Catalog Delay Advertisement (sec)“ beeinflussen.
Wenn der Vorgang erfolgreich abgeschlossen wurde, muss zwingend dieser Eventlog-Eintrag erscheinen:
Event-ID: 1119
Der Domänencontroller ist jetzt ein globaler Katalog.
Danach registriert der NETLOGON Dienst des DC seine SRV-Einträge im DNS und ab jetzt nimmt er seine Aufgabe als GC wahr.
Ab dann hört er auch den TCP Port 3268 und TCP Port 3269 (für SSL-Verbindungen) ab.
Ob das herauf stufen zum GC abgeschlossen wurde, kann folgendermaßen geprüft werden:
Der Registry-Eintrag Global Catalog Promotion Complete im Schlüssel
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters mit dem Wert 1 muss existieren.
In der Kommandozeile lässt sich diese Information mit dem Tool NLTEST, das sich in den Windows Support Tools befindet herausfinden.
Der Befehl dazu lautet:
Nltest /dsgetdc:<Domänenname> /server:<DC-Name>
Ein weiteres Kommandozeilen-Tool mit dem sich die Information herausfinden lässt, wäre REPADMIN (ebenfalls in den Windows Support Tools).
Nach Eingabe des Befehls REPADMIN /Showreps DC erscheint in der zweiten Zeile der Eintrag „IS_GC“.
Wenn der Befehl TELNET DC-NAME 3268 in der Kommandozeile eingegeben wird, sollte daraufhin ein leeres Kommandozeilenfenster mit einem
blinkenden Cursor erscheinen. Das bedeutet, dass der angegebene DC auf dem Port 3268 abhört.
Das RootDSE Objekt enthält ein Attribut isGlobalCatalogReady mit dem Wert TRUE. Das Attribut kann z.B. mit LDP.exe überprüft werden.
Die Hauptverdächtigen, die beim aktivieren des GCs Probleme verursachen, sind meistens Replikationsprobleme sowie das DNS.
Bei der Fehlersuche ist der Einsatz der beiden Tools DCDIAG sowie NetDIAG hilfreich. Ein Blick in die Ereignisanzeige sollte ebenfalls geworfen werden.
Weitere Informationen:
Globaler Katalog (Global Catalog – GC)
Comments are closed, but trackbacks and pingbacks are open.