AD Sites and Services: NLTEST /DSAddressToSite

Wer kennt alle Funktionen von NLTEST? – bei dieser Frage werden die Wenigsten aufspringen und „hier“ rufen 🙂 Nach dem Siegszug der Powershell sind manche Tools etwas in Vergessenheit geraten. Eine angeregte Diskussion hat mich heute dazu gebracht eine kleine verstecke aber sehr nützliche Funktion von NLTEST wieder in das Gedächtnis zu rufen: Auflösung einer IP Adresse zu einer AD Site.

Index

Hintergrund der Diskussion

Es gab Beschwerden über zu langsame Anmeldezeiten an der Active Directory Domain. Ein Grund für zu langsame Anmeldezeiten kann ein ungünstig ausgewählter Domain Controller sein. Die Auswahl eines geeigneten Domain Controllers erfolgt unter anderem über die Zuordnung der IP Adresse des Clients zu einer Active Directory Site, welcher wiederum ein Domain Controller zugeordnet ist.

Wenn für eine Client IP Adresse keine Active Directory Site ermittelt werden kann, so wird ein beliebiger Domain Controller aus den „general records“ im DNS ausgewählt. In der Standard Konfiguration sind hier alle Domain Controller der Domain eingetragen. Somit kann beispielsweise ein Client aus einem nicht registrierten Subnetz in Amerika einen Domain Controller aus Singapore zur Authentifizierung auswählen. (was mit Sicherheit nicht zur Steigerung der Performance beiträgt).

Es stellt sich somit die Frage: ist die IP Adresse des Clients einer Active Directory Site zugeordnet?

Gängige Lösungen zur Ermittlung der AD Site sind „gpresult /r“ oder „NLTEST /dsgetsite„. Problematisch daran ist, dass diese Befehle lokal auf dem betroffenen Computer ausgeführt werden müssen. Dies führt zu unnötigen zeitaufwändigen Schleifen über den Helpdesk und verzögert meist die Problemlösung.

Der zu unrecht etwas unbekannte NLTEST Parameter /DSADDRESSTOSITE erledigt diese Aufgabe auf jedem Computer, welcher Mitglied der fraglichen Active Directory Domain ist.

NLTEST /DSADDRESSTOSITE:<IP Adresse>

C:\&gt;nltest /DSADDRESSTOSITE:10.10.10.100

Ruft Standort-/Subnetzzuordnung für '10.10.10.100' von '\\DC01.DOMAIN.COM'.
   10.10.10.100  DEFRA  10.10.10.0/24

Der Befehl wurde ausgeführt.

C:\>nltest /DSADDRESSTOSITE:10.10.10.100

Ruft Standort-/Subnetzzuordnung für '10.10.10.100' von '\\DC01.DOMAIN.COM'.

10.10.10.100 DEFRA 10.10.10.0/24

Der Befehl wurde ausgeführt.

Das Beispiel zeigt wie mit dem Befehl NLTEST überprüft werden kann, dass die IP Adresse 10.10.10.100 der Active Directory Site „DEFRA“ zugeordnet ist. Offen bleibt die Frage, ob sicher dieser fragliche Client auch im Raum Frankfurt befindet 🙂

Artikel weiterempfehlen:

Artikel erstellt am: 19.11.2014

Tom

· Antworten

28. Juni 2016 at 3:53 PM

Und wie bekommt man Standort / IP usw von „DEFRA“ heraus?

Jens Künzler
· Antworten

Author

14. Juli 2016 at 5:36 PM

Hallo Tom,

vielen Dank für das Interesse an dem Artikel.
Die Subnetze, welche der Site „DEFRA“ zugeordnet sind, bekommt man nicht so einfach raus. Mit PowerShell geht das (hier kommt bald ein neuer Artikel…)
In der Management Konsole „Active Directory Sites & Services“ kann man sich aber die Site „DEFRA“ anschauen.
Mit dem NLTEST Befehl wollte ich nur zeigen, wie man herausfindet, ob eine Adresse einer Site zugeordnet ist.

Grüße,
Jens