Wer kennt alle Funktionen von NLTEST? – bei dieser Frage werden die Wenigsten aufspringen und „hier“ rufen 🙂 Nach dem Siegszug der Powershell sind manche Tools etwas in Vergessenheit geraten. Eine angeregte Diskussion hat mich heute dazu gebracht eine kleine verstecke aber sehr nützliche Funktion von NLTEST wieder in das Gedächtnis zu rufen: Auflösung einer IP Adresse zu einer AD Site.
Index
Hintergrund der Diskussion
Es gab Beschwerden über zu langsame Anmeldezeiten an der Active Directory Domain. Ein Grund für zu langsame Anmeldezeiten kann ein ungünstig ausgewählter Domain Controller sein. Die Auswahl eines geeigneten Domain Controllers erfolgt unter anderem über die Zuordnung der IP Adresse des Clients zu einer Active Directory Site, welcher wiederum ein Domain Controller zugeordnet ist.
Wenn für eine Client IP Adresse keine Active Directory Site ermittelt werden kann, so wird ein beliebiger Domain Controller aus den „general records“ im DNS ausgewählt. In der Standard Konfiguration sind hier alle Domain Controller der Domain eingetragen. Somit kann beispielsweise ein Client aus einem nicht registrierten Subnetz in Amerika einen Domain Controller aus Singapore zur Authentifizierung auswählen. (was mit Sicherheit nicht zur Steigerung der Performance beiträgt).
Es stellt sich somit die Frage: ist die IP Adresse des Clients einer Active Directory Site zugeordnet?
Gängige Lösungen zur Ermittlung der AD Site sind „gpresult /r“ oder „NLTEST /dsgetsite„. Problematisch daran ist, dass diese Befehle lokal auf dem betroffenen Computer ausgeführt werden müssen. Dies führt zu unnötigen zeitaufwändigen Schleifen über den Helpdesk und verzögert meist die Problemlösung.
Der zu unrecht etwas unbekannte NLTEST Parameter /DSADDRESSTOSITE erledigt diese Aufgabe auf jedem Computer, welcher Mitglied der fraglichen Active Directory Domain ist.
NLTEST /DSADDRESSTOSITE:<IP Adresse>
1 2 3 4 5 6 |
C:\>nltest /DSADDRESSTOSITE:10.10.10.100 Ruft Standort-/Subnetzzuordnung für '10.10.10.100' von '\\DC01.DOMAIN.COM'. 10.10.10.100 DEFRA 10.10.10.0/24 Der Befehl wurde ausgeführt. |
Das Beispiel zeigt wie mit dem Befehl NLTEST überprüft werden kann, dass die IP Adresse 10.10.10.100 der Active Directory Site „DEFRA“ zugeordnet ist. Offen bleibt die Frage, ob sicher dieser fragliche Client auch im Raum Frankfurt befindet 🙂
2 Comments
Leave your reply.