Wenn das Telefonbuch streikt: Active Directory DNS Fehler beheben

In Microsoft-Umgebungen gilt ein alter Spruch der Systemadministratoren: “It’s always DNS”. Wenn das Active Directory (AD) Probleme macht, Benutzer sich nicht anmelden können oder Replikationen fehlschlagen, liegt die Ursache fast immer in einer fehlerhaften Namensauflösung.

Die Symptome eines DNS-Leidens

• Fehlermeldungen wie “The RPC server is unavailable”.
• Replikationsfehler bei dcdiag.
• Extrem langsame Logins (Warten auf Gruppenrichtlinien).
• Clients finden den Domänencontroller nicht, obwohl er anpingbar ist.

Erste Hilfe Schritte

1. DCDIAG nutzen: Der Klassiker. dcdiag /test:dns gibt einen detaillierten Bericht über den Gesundheitszustand Ihrer DNS-Einträge.
2. SRV-Records prüfen: Ohne die Service-Records (_ldap, _kerberos) im DNS ist das AD blind. Stellen Sie sicher, dass diese vom Netlogon-Dienst korrekt registriert wurden.
3. Forwarders & Root Hints: Checken Sie, ob Ihr DNS-Server weiß, wo er fragen muss, wenn er eine Adresse nicht intern auflösen kann.

Ein Tipp aus der Praxis

Nutzen Sie niemals externe DNS-Server (wie 8.8.8.8) direkt in den Netzwerkeinstellungen Ihrer Domänencontroller oder Clients. Die Namensauflösung für die Domäne muss immer über die internen AD-integrierten DNS-Server laufen. Externe Auflösung gehört in die “Weiterleitungen” (Forwarders) des DNS-Dienstes.

DNS ist das Fundament Ihres Netzwerks. Pflegen Sie es gut, und das AD dankt es Ihnen mit Stabilität!