Münchner Straße 15, 89073 Ulm
+49 7319 53495-29

AD Replication – Troubleshooting – Teil 1

Active Directory Replication Troubleshooting

– Teil 1

Zielgruppe

Dauer

Das Remote Event dauert 105 Minuten

(2 x 45 Minuten und dazwischen 15 Minuten Pause)

Level

Hohe Komplexität

Zusätzliche Werkzeuge

Die Schulungsteilnehmer erhalten eine Tasche, Kugelschreiber und einen Block nach Eingang der Kursgebühr per Post.

Preis

250,- € exkl. MwSt.

Jetzt buchen

Februar 2021

09feb9:0011:00AD REPLICATION – TROUBLESHOOTING – TEIL 1 (Online)

März 2021

04mär9:0011:30AD REPLICATION – TROUBLESHOOTING – TEIL 1 (Online)

April 2021

14apr14:0016:30AD REPLICATION – TROUBLESHOOTING – TEIL 1 (Online)

Beschreibung AD Replication troubleshooting – Teil 1

Dieser erste Teil einer Onlineseminar-Reihe vermittelt Ihnen konkrete Fähigkeiten, wie Sie eine fehlerhafte Active Directory Replikation in einen funktionalen Zustand überführen können. Teil 1 setzt den Fokus auf drei große Bereiche: Domain Name System, das Authentifizierungsprotokoll KerberosV5 und der Secure-Channel von Domain Controllern.

Übersicht zum OnlineSeminar

Der Beginn dieses Onlineseminars führt Sie in das Thema Active Directory Replication Troubleshooting ein. Wir legen den Grundstein durch fehlerhafte DNS-Einstellungen und fehlerhaften DNS-Einträgen welche die Replikation erschweren bzw. verhindern. DCdiag.exe /test:DNS wird hier gute Dienste leisten und uns einen Startpunkt für die Schnitzeljagdt im DNS liefern. Resolve-DNSName mit der WindowsPowershell lässt und die DNS-Spur bis zum Fehler verfolgen und den Fehler isolieren.

DNS ist zwar die Grundlage für eine AD-Replikation, aber ohne die Authentifizierung per KerberosV5 kommt ein Domain Controller hier auch nicht weiter. Somit benötigen wir eine Vorgehensweise, welche und Fehler aus dem Protokoll KerberosV5 aufzeigt, welche ein Authentifizierungsproblem lösen lassen. klist.exe ist hier einer der bekannten Kandidaten, aber auch Sonderlinge wie ein „Add-Type -AssenblyName System.IdentityModel“ werden und hier begegnen.

Sobald der Höllenhund Kerberos gebändigt wurde, ist die letzte Quelle der Freude in diesem Online-Seminar der Domain Controller Secure-Channel. Hie und da kommen die Kennwörter der Domain Controller zwischen Registry und AD-Datenbank aus dem Tritt und dann tritt der schleichende Prozess von „Split-Brain“ ein. Diesem gilt es nicht nur Aufmerksamkeit zu widmen, sondern die Problemfälle auch wieder zu lösen.

Details zum Workshop

Block 1: Domain Name System (DNS)

  • NTDSDSAGUID im DNS
  • CNAME -> A -> IP
  • Schreibprozesse in die Zone _msdcs.<forest>.<root>
  • secure / non-secure / none

Block 2: KerberosV5

  • Master- und Session-Keys
  • Domain Controller SPNs
  • RC4-, AES128- oder AES256-Verschlüsselung
  • Kennwortänderungen von Domain Controllern

Block 3: DC Secure-Channel

  • Domain Controller Secure-Channel
  • Kennwortänderung des Domain Controllers in Single-DC-Sites
  • Defekte Secure-Channel erkennen
  • Restore eines DC mit einem Backup älter als 30 Tage.

Block 4: Putting all together

  • Erkennen und Lösen von falschen / unvollständigen DNS-Einträgen der NTDSDSAGUID
  • Erkennen und Lösen von KerberosV5-bezogenen Problemen
  • Reparatur eines defekten Secure-Channels bei Domain Controllern
  • Defekter DC: repair? restore? replace?
X
X