Wartungs- und Pflegetipps für Ihr Active Directory

Die Pflege eines Active Directory (AD) umfasst hauptsächlich drei Aufgaben: Installation bzw. Deployment sowie Wartung und Reparaturen im Fehlerfall. In diesem Artikel möchte ich Ihnen zeigen, wie Sie ein zuverlässiges Active Directory aufbauen. Der Schwerpunkt liegt dabei deutlich auf präventiven Wartungsaspekten.

Es liegt leider weit jenseits der Möglichkeiten dieses Artikels, die vollständige Konfiguration eines Active Directory zu erörtern. Glücklicherweise stellt Microsoft dafür eine Vielzahl an Ressourcen auf seiner TechNet-Website bereit. Als Autor geht meine Empfehlung in den englischsprachigen Büchermarkt zu den betagteren Klassikern Active Directory und Active Directory Cookbook von O’Reilly aus dem Jahr 2003. 

Viele Jahre schon liegen diese Titel in meinem Bücherregal, und doch greife ich bis heute immer wieder auf sie zurück, wenn ich an einem AD arbeite. Aus meiner Sicht ist das Thema Active Directory so komplex, dass die üblichen kurzen Web-Ressourcen einfach keine ausreichende Grundlage für Qualität in Entwurf und Deployment darstellen.

Wenn Ihr AD erst einmal läuft, bedarf es regelmäßiger Hege und Pflege. Jeder Active-Directory-Spezialist verfügt sicherlich über seine eigenen Hilfsmittel und Vorgehensweisen, um die Vitalität seines AD zu gewährleisten, aber in diesem Artikel möchte ich Ihnen die meinigen verraten.

1. Kontrolliere Deine Backups. Dieser Aspekt ist tatsächlich so wichtig, dass ihm auch gleich einen separater Artikel gewidmet wurde, den ich Ihnen dringend als Anschlusslektüre empfehle.

2. Stellen Sie sicher, dass die Replikation funktioniert. Active Directory ist abhängig von mehreren Datenbanken, die in engmaschiger Synchronisierung durch Updates und Änderungen im Takt gehalten werden. Dieser Vorgang nennt sich Replikation, allerdings wird nie das ganze Directory repliziert, sondern ausschließlich die Änderungen daran.

Der gesamte Vorgang ist bei weitem nicht so kompliziert, wie er klingen mag. Wenn aber Ihre Replikationen den Dienst versagen, funktioniert Ihr Active Directory nicht mehr zuverlässig. Zur Prüfung können Sie jederzeit den Befehl repadmin /showrepl ausführen, um Einblick in den Status Ihrer letzten Replikationen und der Synchronisation kürzlicher Änderungen zu erhalten. Innerhalb eines LANs werden Sie hier üblicherweise keine Fehler entdecken. Ganz anders kann das aber schon sein, wenn sich Ihre AD-Domäne über ein WAN erstreckt. Hier dürfen Sie durchaus damit rechnen, auf unliebsame Verzögerungen zu stoßen.

Wenn eine Änderung an Ihren AD-Daten eintritt, wird diese zwar nicht augenblicklich überall repliziert. In einer gut gepflegten AD-Infrastruktur werden Ihre Replikationen aber nicht mehr als wenige Stunden auseinander liegen. Repadmin gibt Ihnen Informationen darüber, wann Ihre letzte Replikation stattgefunden hat; dabei sollten sämtliche Server denselben Zeitplan aufweisen.

Wenn ich mehr als 2 Domain-Controller überwachen muss, nutze ich selber normalerweise den Befehl repadmin /showrepl /bysrc /bydest, um einen Überblick über das gesamte AD-Domain-Controller-Netzwerk zu erhalten. Ich empfehle Ihnen, mir dies einmal im Monat nachzutun.

3. Prüfen Sie die Ereignisprotokolle. Wenn ich mich nicht sehr irre, ist es schlicht unmöglich, sämtliche Fehler aus den Ereignisprotokollen (Event Logs) zu eliminieren – insbesondere solche, die während des Bootvorgangs protokolliert werden. Bei einem Domain-Controller, der seit mindestens einigen Stunden läuft, sollten Sie jedoch keine anderen als Informationseinträge im Ereignisprotokoll für den Verzeichnisdienst finden. 

Denken Sie daran, dass Sie Ereignisprotokolle nicht nur im vermuteten Fehlerfall, sondern sehr regelmäßig überprüfen sollten. Nur so können Sie ein Gefühl dafür bekommen, welche Einträge „normal“ für Ihre Active-Directory-Deployment sind. Falls Sie regelmäßig andere als Informationsmeldungen (überwiegend wegen Defragmentierung oder Backups) in Ihren Directory- oder DNS-Anwendungsprotokollen finden, so weist das auf ein zu lösendes Problem hin. Auch diese Überprüfung sollten Sie einmal monatlich in Ihren Terminkalender aufnehmen.

4. Überlegen Sie genau, wann die Defragmentierung durchgeführt wird. Die Active-Directory-Datenbank kann groß und fragmentiert sein, wenn sie über Jahre hinweg ein größeres Active Directory betreiben. Durch regelmäßige Wartung können Sie ihre Performance verbessern. In Windows können Sie Active Directory als Dienst starten und stoppen sowie Datenbank-Wartungsaufgaben ausführen. Vor Windows Server 2008 mussten Sie in den Directory Services Restore-Modus booten, um direkten Zugriff auf das Verzeichnis zu erhalten. 

In beiden Fällen jedoch ist das beste Werkzeug der Wahl das Hilfswerkzeug Ntdsutil. Mit dessen Hilfe können Sie die Datenbankintegrität prüfen, der Datenbank verlorenen Speicherplatz abtrotzen oder sie durch Defragmentierung beschleunigen. Diese Aufgabe steht eher einmal pro Jahr an als monatlich, womit sich auch hier ein Eintrag im Terminkalender empfiehlt.

Ntdsutil kommt noch eine weitere wichtige Aufgabe zu: Es wird eingesetzt, um das Admin-Kennwort für den Directory Services Restore-Modus zurückzusetzen. Diese Aufgabe steht jedes Mal an, wenn ein Administrator das Unternehmen verlässt (dafür ist es unter älteren Windows-Server-Versionen nicht notwendig, in den Restore-Modus zu booten).

5. Nutzen Sie Dcdiag. Das Beste habe ich mir für den Schluss aufgehoben – denn ich liebe dieses Werkzeug einfach. Dcdiag hat nahezu 30 unterschiedliche Tests zur Überprüfung des Zustands Ihres Active Directory. Beginnend bei grundlegender Konnektivität und fehlerhaften Sicherheitseinstellungen für Directory-Server bis hin zu sehr spezifischen Fragestellungen wie fehlende Maschinenkonten.

Zugegeben, es ist kryptisch, es ist verwirrend, und es ist ungefähr genauso kompliziert zu bedienen wie alles, was Microsoft bisher veröffentlicht hat. Aber es hat eine Fülle von Tests anzubieten, und es kann jede Menge an unterschiedlichsten, höchst interessanten Fehlerhinweisen sammeln. Ich starte das Tool normalerweise mit den Kommandozeilenparametern dcdiag /a /v /c (/a steht für „alle Domain-Controller“, /v steht im Englischen für „verbose“, also ausführlich und /c bedeutet umfassend, herrührend aus dem englischen „comprehensive“). So erhalte ich einen umfassenden Überblick über die wichtigsten Fehler. 

Es sind eigentlich immer einige dabei, die eines genaueren Blickes bedürfen, auch wenn sie sich später als unschädlich herausstellen sollten. Einige der von Dcdiag ermittelten Fehler, beispielsweise Systemprotokoll-Fehler und Knowledge Consistency Checker (KCC)-Fehler, sind gängig aber vorübergehend, etwa weil ein System neu gestartet wurde. Andere hingegen, wie etwa der Role Holder-Test, weisen auf ernsthafte Probleme hin.

Bevor ich es vergesse: Falls Sie noch Windows Server 2003 einsetzen, finden Sie Dcdiag und Repadmin (beide sind Kommandozeilenwerkzeuge) in den Windows Support-Tools. Diese finden sich im Verzeichnis Support\Tool auf dem Windows-Server-Installationsmedium oder auch über den Microsoft Knowledgebase-Artikel KB892777.

Wenn Sie sich erst einmal mit Microsofts Verzeichnisdienst Active Directory vertraut gemacht haben, werden Sie bemerken, was für eine wunderbare Technologie Sie in Händen haben. Es kann als zentrale Informationsquelle über Benutzer und Gruppen, Windows-Computer, Drucker und mehr eingesetzt werden. 

Aus Gründen der Zuverlässigkeit empfiehlt es sich dennoch, mehrere Active-Directory-Server zu betreiben, die sich gegenseitig absichern. Nicht zuletzt ist das Active Directory eine Stütze der Sicherheit für Ihr Netzwerk, denn wenn Ihr Unternehmen das AD aktiv einsetzt, wird ein Ausfall schnell zu einem ernsthaften Problem.

Die Gewissheit, über ein zuverlässig aufgebautes Active Directory zu verfügen, ist Grund genug, das AD auch für andere Zwecke einzusetzen. Beispielsweise unterstützen die meisten Netzwerk- und Sicherheitskomponenten RADIUS (Remote Authentication Dial-In User Service) für die Authentifikation von Administratoren, womit eine Zentralisierung des Konten- und Kennwortmanagements erheblich erleichtert wird. Vergleichbar verfügen nahezu alle Sicherheitskomponenten mit Benutzerkonten (etwa SSL VPN-Systeme) über die Möglichkeit, sich gegenüber einem Active Directory zu authentifizieren.

Über den Autor:
Joel Snyder ist Hauptinhaber der in Tucson, Arizona ansässigen Firma Opus One. Er ist international als Telekom- und Netzwerk-Experte bekannt – sein Spezialgebiet ist Sicherheit. Dr Snyder hat  bisher drei Bücher veröffentlicht und zwei Zeitschriften herausgegeben.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!