Active Directory Replication Troubleshooting
– Teil 1
Zielgruppe
- erfahrene Administratoren von Active Directory
- Ergänzung durch Replication Troubleshooting – Teil 2
Dauer
Das Remote Event dauert 105 Minuten
(2 x 45 Minuten und dazwischen 15 Minuten Pause)
Level
Hohe Komplexität
Zusätzliche Werkzeuge
Die Schulungsteilnehmer erhalten eine Tasche, Kugelschreiber und einen Block nach Eingang der Kursgebühr per Post.
Preis
250,00€ exkl. MwSt.
Termine
Auf Anfrage:
Telefon: +49 731 1848699-0 oder
E-Mail: info@iqunit.com
Mehr Infos
Beschreibung AD Replication troubleshooting – Teil 1
Dieser erste Teil einer Onlineseminar-Reihe vermittelt Ihnen konkrete Fähigkeiten, wie Sie eine fehlerhafte Active Directory Replikation in einen funktionalen Zustand überführen können. Teil 1 setzt den Fokus auf drei große Bereiche: Domain Name System, das Authentifizierungsprotokoll KerberosV5 und der Secure-Channel von Domain Controllern.
Übersicht zum OnlineSeminar
Der Beginn dieses Onlineseminars führt Sie in das Thema Active Directory Replication Troubleshooting ein. Wir legen den Grundstein durch fehlerhafte DNS-Einstellungen und fehlerhaften DNS-Einträgen welche die Replikation erschweren bzw. verhindern. DCdiag.exe /test:DNS wird hier gute Dienste leisten und uns einen Startpunkt für die Schnitzeljagdt im DNS liefern. Resolve-DNSName mit der WindowsPowershell lässt und die DNS-Spur bis zum Fehler verfolgen und den Fehler isolieren.
DNS ist zwar die Grundlage für eine AD-Replikation, aber ohne die Authentifizierung per KerberosV5 kommt ein Domain Controller hier auch nicht weiter. Somit benötigen wir eine Vorgehensweise, welche und Fehler aus dem Protokoll KerberosV5 aufzeigt, welche ein Authentifizierungsproblem lösen lassen. klist.exe ist hier einer der bekannten Kandidaten, aber auch Sonderlinge wie ein “Add-Type -AssenblyName System.IdentityModel” werden und hier begegnen.
Sobald der Höllenhund Kerberos gebändigt wurde, ist die letzte Quelle der Freude in diesem Online-Seminar der Domain Controller Secure-Channel. Hie und da kommen die Kennwörter der Domain Controller zwischen Registry und AD-Datenbank aus dem Tritt und dann tritt der schleichende Prozess von “Split-Brain” ein. Diesem gilt es nicht nur Aufmerksamkeit zu widmen, sondern die Problemfälle auch wieder zu lösen.
Details zum Workshop
Block 1: Domain Name System (DNS)
- NTDSDSAGUID im DNS
- CNAME -> A -> IP
- Schreibprozesse in die Zone _msdcs.<forest>.<root>
- secure / non-secure / none
Block 2: KerberosV5
- Master- und Session-Keys
- Domain Controller SPNs
- RC4-, AES128- oder AES256-Verschlüsselung
- Kennwortänderungen von Domain Controllern
Block 3: DC Secure-Channel
- Domain Controller Secure-Channel
- Kennwortänderung des Domain Controllers in Single-DC-Sites
- Defekte Secure-Channel erkennen
- Restore eines DC mit einem Backup älter als 30 Tage.
Block 4: Putting all together
- Erkennen und Lösen von falschen / unvollständigen DNS-Einträgen der NTDSDSAGUID
- Erkennen und Lösen von KerberosV5-bezogenen Problemen
- Reparatur eines defekten Secure-Channels bei Domain Controllern
- Defekter DC: repair? restore? replace?