Active Directory 20 min läsning

Active Directory-felsökning för IT-helpdesk — kompletta guiden 2026

Komplett guide till Active Directory-felsökning för IT-helpdesk. Lär dig diagnostisera kontoutelåsningar, replikeringsproblem, GPO-felsökning och Microsoft Entra Connect-synkronisering med PowerShell, DCDiag och Repadmin.

Editorial Team

Introduktion: Varför Active Directory-kunskaper är avgörande för helpdesk

Active Directory (AD) är ryggraden i praktiskt taget alla Windows-baserade företagsmiljöer. Som helpdesk-tekniker kommer du oundvikligen att stöta på AD-relaterade problem — från kontoutelåsningar och lösenordsåterställningar till grupprinciplikationsproblem och replikeringsfel mellan domänkontrollanter. Enligt Microsofts Digital Defense Report 2025 börjar över 40 procent av alla ransomware-attacker med komprometterade AD-autentiseringsuppgifter. Det gör AD-kunskaper till inte bara en teknisk nödvändighet utan också en säkerhetskritisk kompetens.

Och komplexiteten bara ökar.

I takt med att organisationer rör sig mot hybridmiljöer — med lokala Active Directory-installationer som synkroniseras mot Microsoft Entra ID (tidigare Azure AD) — blir felsökningen allt mer mångfacetterad. Windows Server 2025, Microsoft Entra Connect 2.5.x och övergången till applikationsbaserad autentisering innebär nya utmaningar som kräver uppdaterad kunskap.

Den här guiden ger dig en komplett verktygslåda för att diagnostisera och lösa de vanligaste Active Directory-problemen du möter som helpdesk-tekniker under 2026. Vi täcker allt från grundläggande kontofelsökning till avancerad replikeringsdiagnostik med PowerShell — och ja, vi tar oss an hybrididentitetsproblem också.

De vanligaste Active Directory-problemen på helpdesk

Innan vi dyker ner i verktyg och kommandon, låt oss titta på vilka typer av AD-ärenden som genererar flest helpdesk-biljetter. Erfarenhetsmässigt handlar det om följande:

  • Kontoutelåsningar — Användare som låses ute efter upprepade felaktiga inloggningsförsök
  • Lösenordsproblem — Utgångna lösenord, lösenordspolicyer som inte tillämpas korrekt, självbetjäningsåterställning som inte fungerar
  • Autentiseringsfel — Kerberos-biljettfel, NTLM-fallback-problem, certifikatfel
  • Grupprincipproblem (GPO) — Policyer som inte appliceras, konflikterande inställningar, långsam inloggning
  • Replikeringsfel — Domänkontrollanter som inte synkroniserar, inkonsistenta data mellan DC:er
  • DNS-problem — Felkonfigurerad DNS som orsakar AD-autentiseringsfel
  • Hybridsynkroniseringsproblem — Microsoft Entra Connect-fel, objektsynkroniseringsproblem
  • Behörighetsproblem — Felaktiga gruppmedlemskap, delegerade rättigheter som inte fungerar

Ärligt talat är kontoutelåsningar ensamma ansvariga för en oproportionerligt stor andel av alla AD-ärenden. Så vi börjar där.

Grundläggande kontofelsökning

Kontoutelåsningar — det vanligaste ärendet

Kontoutelåsningar är utan tvekan det allra vanligaste AD-relaterade ärendet som landar på helpdesk. Orsaken kan vara allt från att användaren helt enkelt glömt sitt lösenord till att en gammal autentiseringsuppgift finns sparad i en tjänst, en mobilenhet eller en schemalagd uppgift.

Steg ett är alltid att identifiera var utelåsningen kommer ifrån. Använd PowerShell för att snabbt hämta information om ett utelåst konto:

# Kontrollera om ett konto är utelåst
Get-ADUser -Identity "anna.svensson" -Properties LockedOut, LockoutTime, BadLogonCount, BadPasswordTime, LastBadPasswordAttempt |
Select-Object Name, LockedOut, LockoutTime, BadLogonCount, LastBadPasswordAttempt

# Lås upp kontot
Unlock-ADAccount -Identity "anna.svensson"

# Visa alla utelåsta konton i domänen
Search-ADAccount -LockedOut | Select-Object Name, SamAccountName, LockedOut, LastLogonDate

Men att bara låsa upp kontot räcker inte — du behöver hitta källan till utelåsningen. Annars kommer användaren att låsas ut igen inom kort (och ringa tillbaka, och du vill inte ha det samtalet igen). Kontrollera domänkontrollanternas säkerhetsloggar för att hitta vilken dator eller tjänst som skickar felaktiga autentiseringsuppgifter:

# Sök efter Event ID 4740 (kontoutelåsning) på PDC Emulator
$PDC = (Get-ADDomainController -Discover -Service PrimaryDC).HostName
Get-WinEvent -ComputerName $PDC -FilterHashtable @{
    LogName = "Security"
    Id = 4740
} -MaxEvents 20 | ForEach-Object {
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        UserName    = $_.Properties[0].Value
        CallerComputer = $_.Properties[1].Value
    }
} | Format-Table -AutoSize

Skriptet ovan visar vilken dator (CallerComputer) som orsakade utelåsningen. Vanliga brottslingar inkluderar:

  • Mappade nätverksenheter med sparade autentiseringsuppgifter
  • Schemalagda uppgifter som kör under ett tjänstkonto
  • Mobilenheter med konfigurerade e-postkonton
  • Webbläsare med sparade lösenord
  • RDP-sessioner med sparade autentiseringsuppgifter
  • VPN-klienter med cachade inloggningsuppgifter

Min erfarenhet? I nio fall av tio är det en mobiltelefon med ett gammalt lösenord eller en mappad nätverksenhet som någon glömt bort.

Lösenordsproblem och policyer

Om en användare rapporterar att de inte kan byta lösenord, eller att lösenordet verkar ha gått ut oväntat, behöver du kontrollera vilken lösenordspolicy som faktiskt gäller. Med finkorniga lösenordspolicyer (Fine-Grained Password Policies) kan nämligen olika användare ha helt olika krav:

# Visa standardlösenordspolicyn för domänen
Get-ADDefaultDomainPasswordPolicy

# Visa finkorniga lösenordspolicyer
Get-ADFineGrainedPasswordPolicy -Filter * |
Select-Object Name, Precedence, MinPasswordLength, MaxPasswordAge, LockoutThreshold, LockoutDuration

# Kontrollera vilken policy som gäller för en specifik användare
Get-ADUserResultantPasswordPolicy -Identity "anna.svensson"

# Kontrollera lösenordsstatus för en användare
Get-ADUser -Identity "anna.svensson" -Properties PasswordLastSet, PasswordExpired, PasswordNeverExpires, msDS-UserPasswordExpiryTimeComputed |
Select-Object Name, PasswordLastSet, PasswordExpired, PasswordNeverExpires,
    @{Name="PasswordExpires";Expression={[datetime]::FromFileTime($_."msDS-UserPasswordExpiryTimeComputed")}}

Grupprincip-felsökning (GPO)

Grupprinciper (Group Policy Objects, GPOs) är ett kraftfullt verktyg för att centralt styra konfigurationer och säkerhetsinställningar. Men när de inte fungerar som de ska? Ja, då kan det vara ganska frustrerande att felsöka. Här är en systematisk metod för att ta sig an GPO-problem.

gpresult — Visa vilka policyer som tillämpas

Det första verktyget du ska använda är gpresult, som visar vilka grupprinciper som faktiskt har tillämpats på en dator eller användare:

REM Generera en fullständig rapport i HTML-format
gpresult /H C:\Temp\gpreport.html /F

REM Visa sammanfattning i konsolen
gpresult /R

REM Visa policyer för en specifik användare på en fjärrdator
gpresult /S DATOR01 /USER corp\anna.svensson /R

I rapporten bör du leta efter:

  • Applicerade grupprinciper — Vilka GPO:er som har tillämpats
  • Nekade grupprinciper — GPO:er som nekades och varför (t.ex. säkerhetsfiltrering, WMI-filter)
  • Sista gången grupprincip uppdaterades — Om det var för länge sedan kan en tvångad uppdatering behövas

Tvinga grupprincipuppdatering

Om du misstänker att policyer inte har uppdaterats kan du tvinga fram en uppdatering:

REM Lokalt på datorn
gpupdate /force

REM Via PowerShell på en fjärrdator
Invoke-GPUpdate -Computer "DATOR01" -Force -RandomDelayInMinutes 0

REM Uppdatera alla datorer i en specifik OU
Get-ADComputer -Filter * -SearchBase "OU=Kontor,DC=corp,DC=contoso,DC=se" |
ForEach-Object { Invoke-GPUpdate -Computer $_.Name -Force -RandomDelayInMinutes 0 }

Vanliga orsaker till GPO-problem

Om en GPO inte tillämpas, gå igenom den här checklistan:

  1. Länkning — Är GPO:n länkad till rätt OU (Organizational Unit)?
  2. Säkerhetsfiltrering — Har användaren eller datorn behörighet att läsa och tillämpa policyn? Viktigt att veta: sedan en uppdatering i Windows krävs att gruppen "Authenticated Users" har läsbehörighet på GPO:n, även om säkerhetsfiltreringen pekar på en specifik grupp. Det här missar folk ibland.
  3. WMI-filter — Finns det ett WMI-filter som exkluderar datorn?
  4. Arv — Är arv blockerat på OU-nivå? Eller finns det en GPO med högre prioritet som överskriver inställningen?
  5. Datorpolicy vs. användarpolicy — Är inställningen konfigurerad under rätt sektion?
# PowerShell: Kontrollera GPO-arv för en specifik OU
Get-GPInheritance -Target "OU=Kontor,DC=corp,DC=contoso,DC=se"

# Lista alla GPO:er och deras status
Get-GPO -All | Select-Object DisplayName, GpoStatus, CreationTime, ModificationTime |
Sort-Object ModificationTime -Descending | Format-Table -AutoSize

# Kontrollera säkerhetsfiltrering för en specifik GPO
Get-GPPermission -Name "Lösenordspolicy - Kontor" -All |
Where-Object { $_.Permission -eq "GpoApply" } |
Select-Object Trustee, Permission

Domänkontrollantdiagnostik med DCDiag

DCDiag (Domain Controller Diagnostic Tool) är det viktigaste verktyget för att kontrollera hälsan hos dina domänkontrollanter. Det kör en serie tester och rapporterar resultaten som Passed eller Failed. DCDiag finns installerat på alla domänkontrollanter och kan även installeras via RSAT (Remote Server Administration Tools) på arbetsstationer.

Grundläggande DCDiag-kommandon

REM Kör standardtester mot en specifik domänkontrollant
dcdiag /s:DC01

REM Kör alla tester mot alla DC:er med utförlig utdata
dcdiag /c /e /v

REM Kör DNS-specifika tester
dcdiag /test:DNS /e /v

REM Spara resultatet till en fil
dcdiag /s:DC01 /c /v /f:C:\Temp\dcdiag-rapport.txt

REM Kör diagnostik med automatisk åtgärd av mindre problem
dcdiag /s:DC01 /fix

DCDiag kör en hel radda tester. Här är de viktigaste att känna till:

  • Connectivity — Verifierar nätverksanslutning och DNS-upplösning till DC:n
  • Replications — Kontrollerar replikeringsstatus mellan domänkontrollanter
  • NetLogons — Verifierar att nödvändiga privilegier finns för replikering
  • Advertising — Kontrollerar att DC:n annonserar sig korrekt som domänkontrollant
  • MachineAccount — Verifierar att DC:ns datorkonto är korrekt registrerat i AD
  • KnowsOfRoleHolders — Kontrollerar åtkomst till DC:er med FSMO-roller
  • Services — Verifierar att nödvändiga tjänster körs
  • FSMOCheck — Kontrollerar att FSMO-rollinnehavare kan nås

Om du ser ett test markerat som Failed bör du undersöka det närmare. Ett misslyckat Connectivity-test pekar ofta på DNS-problem, medan ett misslyckat Replications-test kräver djupare analys med Repadmin (mer om det strax).

Replikeringsdiagnostik med Repadmin

Repadmin (Replication Admin) är det ultimata verktyget för att diagnostisera och åtgärda replikeringsproblem mellan domänkontrollanter. Och tro mig — replikeringsproblem vill du ta tag i snabbt. De kan leda till inkonsistenta data, autentiseringsfel och i värsta fall fullständigt driftstopp.

Viktiga Repadmin-kommandon

REM Visa en sammanfattning av replikeringsstatus för alla DC:er
repadmin /replsummary

REM Visa detaljerad replikeringsinformation för en specifik DC
repadmin /showrepl DC01

REM Exportera replikeringsdata som CSV (mycket användbart)
repadmin /showrepl * /csv > C:\Temp\repldata.csv

REM Tvinga synkronisering av alla namnrymder på en DC
repadmin /syncall DC01 /AeD

REM Visa replikeringskön
repadmin /queue

REM Filtrera efter replikeringsfel
repadmin /showrepl * | findstr "FAIL"

Ett särskilt smidigt trick är att kombinera repadmin med PowerShell för interaktiv analys:

# Exportera replikeringsdata till PowerShell Grid View
repadmin /showrepl * /csv | ConvertFrom-Csv | Out-GridView

# Kontrollera replikeringsfel med PowerShell
Get-ADReplicationFailure -Scope Domain |
Select-Object Server, Partner, FirstFailureTime, FailureCount, LastError |
Format-Table -AutoSize

# Kontrollera senaste replikeringstidpunkt
Get-ADReplicationPartnerMetadata -Target "DC01" -Partition * |
Select-Object Server, Partition, Partner, LastReplicationAttempt, LastReplicationSuccess, LastReplicationResult |
Format-Table -AutoSize

Viktiga saker att titta på i replikeringsrapporten:

  • Largest delta — Bör vara mindre än 1 timme inom samma site (beroende på replikeringsschema)
  • Antal fel — Bör vara 0. Alla fel kräver utredning
  • Senaste lyckade replikering — Om det var för länge sedan kan det tyda på ett pågående problem

Vanliga replikeringsfel och åtgärder

Här är de vanligaste replikeringsfelen du kan stöta på:

  1. Error 8606 — Insufficient attributes were given to create an object — Ofta orsakat av lingering objects. Åtgärda med repadmin /removelingeringobjects
  2. Error 1256 — The remote system is not available — Kontrollera nätverksanslutning och brandväggsregler mellan DC:erna
  3. Error 1722 — The RPC server is unavailable — Kontrollera DNS, brandvägg och att nödvändiga tjänster körs
  4. Error 8524 — The DSA operation is unable to proceed because of a DNS lookup failure — DNS-konfigurationsfel. Kontrollera SRV-poster

Kontroll av AD-tjänster och DNS

Verifiera kritiska tjänster

Active Directory är beroende av flera Windows-tjänster för att fungera korrekt. Om någon av dessa stannar kan det orsaka autentiseringsfel, replikeringsproblem eller andra driftsstörningar:

# Kontrollera status för alla AD-kritiska tjänster
$Tjanster = @(
    "DNS",
    "DFSR",                    # DFS Replication
    "IsmServ",                 # Intersite Messaging
    "kdc",                     # Kerberos Key Distribution Center
    "Netlogon",                # NetLogon
    "NTDS"                     # Active Directory Domain Services
)

ForEach ($Tjanst in $Tjanster) {
    Get-Service -Name $Tjanst -ErrorAction SilentlyContinue |
    Select-Object @{N="Tjänst";E={$_.DisplayName}}, Status
}

# Starta om en tjänst vid behov (kräver admin)
Restart-Service -Name "Netlogon" -Force

DNS-hälsokontroll

DNS är den enskilt viktigaste underliggande tjänsten för Active Directory. Utan korrekt fungerande DNS kan klienter inte hitta domänkontrollanter, Kerberos-autentisering misslyckas och replikering slutar fungera. Det finns en anledning till att "det är alltid DNS" blivit ett stående skämt i IT-branschen — för det stämmer oftare än man tror.

# Testa DNS-serverns svar
Test-DnsServer -IPAddress 10.20.30.2 -ZoneName "corp.contoso.se"

# Kontrollera att SRV-poster finns för domänkontrollanter
Resolve-DnsName -Name "_ldap._tcp.dc._msdcs.corp.contoso.se" -Type SRV

# Kontrollera alla nödvändiga SRV-poster
$SRVPoster = @(
    "_ldap._tcp.dc._msdcs.corp.contoso.se",
    "_kerberos._tcp.dc._msdcs.corp.contoso.se",
    "_gc._tcp.corp.contoso.se",
    "_kpasswd._tcp.corp.contoso.se"
)

ForEach ($Post in $SRVPoster) {
    Write-Host "`nKontrollerar: $Post" -ForegroundColor Cyan
    Resolve-DnsName -Name $Post -Type SRV -ErrorAction SilentlyContinue |
    Select-Object Name, NameTarget, Port, Priority
}

# Tvinga omregistrering av DC:ns DNS-poster
dcdiag /test:RegisterInDNS /DnsDomain:corp.contoso.se /v

Tidsynkronisering — ett underskattat problem

Det här är något som ofta förbises: Kerberos-autentisering kräver att tidsavvikelsen mellan klient och domänkontrollant är mindre än 5 minuter (standardinställning). Om klockan går fel på en dator eller en DC kan autentisering helt sluta fungera — och felmeddelandena ger sällan en tydlig ledtråd om att det handlar om tid.

REM Kontrollera tidsynkroniseringsstatus
w32tm /query /status

REM Kontrollera vilken tidskälla som används
w32tm /query /source

REM Tvinga tidssynkronisering
w32tm /resync /force

REM Kontrollera tidsavvikelse mot en specifik DC
w32tm /stripchart /computer:DC01 /samples:5

REM Konfigurera PDC Emulator med extern tidskälla
w32tm /config /manualpeerlist:"time.windows.com,0x9" /syncfromflags:manual /reliable:yes /update
net stop w32time && net start w32time
w32tm /resync /force

Viktigt: PDC Emulator-rollen i skogens rotdomän bör vara konfigurerad att synkronisera tid med en extern NTP-källa. Alla andra DC:er synkroniserar mot PDC Emulator, och alla domänmedlemmar synkroniserar mot sin närmaste DC. Om PDC Emulator har fel tid sprider sig felet genom hela domänen — som en dominoeffekt.

Hybridmiljöer: Microsoft Entra Connect-felsökning

De flesta moderna organisationer kör hybridmiljöer där lokala Active Directory synkroniseras med Microsoft Entra ID (tidigare Azure AD) via Microsoft Entra Connect. Synkroniseringen kan ibland krångla, och de problemen hamnar förstås på helpdesk.

Kritisk uppdatering: Version 2.5.79.0

En viktig sak att ha koll på under 2026: Microsoft har meddelat att alla synkroniseringstjänster i Microsoft Entra Connect Sync kommer att sluta fungera den 30 september 2026 om man inte uppgraderat till minst version 2.5.79.0. Versionen släpptes redan i maj 2025 och inkluderar en backend-ändring som härdar Microsofts tjänster. Se till att din organisation har uppgraderat före den deadlinen — du vill inte vara den som upptäcker det för sent.

# Kontrollera installerad version av Microsoft Entra Connect
Get-ADSyncGlobalSettings | Select-Object -ExpandProperty Parameters |
Where-Object { $_.Name -eq "Microsoft.Synchronize.ServerConfigurationVersion" }

# Alternativt, kontrollera via registret
Get-ItemProperty "HKLM:\SOFTWARE\Microsoft\Azure AD Connect" |
Select-Object Version

Vanliga synkroniseringsproblem

Här är de vanligaste problemen du kan stöta på med Microsoft Entra Connect.

Objekt synkroniseras inte

Om en användare eller grupp inte dyker upp i molnet, kontrollera följande:

# Kontrollera synkroniseringsstatus
Start-ADSyncSyncCycle -PolicyType Delta

# Sök efter synkroniseringsfel
Get-ADSyncConnectorRunStatus

# Kontrollera om ett specifikt objekt är i synkroniseringsomfånget
$Connector = Get-ADSyncConnector | Where-Object { $_.Type -eq "AD" }
Get-ADSyncCSObject -ConnectorName $Connector.Name -DistinguishedName "CN=Anna Svensson,OU=Användare,DC=corp,DC=contoso,DC=se"

Vanliga orsaker till att objekt inte synkroniseras:

  • Domänfiltrering — Objektet befinner sig i en domän eller OU som inte ingår i synkroniseringsomfånget
  • Attributfiltrering — Objektet saknar ett obligatoriskt attribut (t.ex. userPrincipalName)
  • Karantänstatus — Synkroniseringstjänsten har satts i karantän på grund av upprepade fel
  • Duplicerade attribut — Ett annat objekt har redan samma proxyAddress eller userPrincipalName

Applikationsbaserad autentisering (ABA) — nya problem med 2.5.x

Med version 2.5.x har Microsoft infört applikationsbaserad autentisering som standard. Det kan orsaka problem, särskilt i miljöer med flera synkroniseringsservrar:

  • Delade anslutningskonton — Om två Entra Connect-servrar delar samma anslutningskonto får de en gemensam appregistrering. När en server uppdaterar certifikatet slutar den andra serverns autentisering att fungera. Klassiskt.
  • Tomma anslutningsparametrar — Efter automatisk uppgradering till 2.5.x kan anslutningsparametrarna (ApplicationManagedBy, CertificateManagedBy, CertificateId) visas som tomma i Synchronization Service Manager.

Viktigt: Undvik att använda Synchronization Service Manager UI för att visa eller redigera anslutningsegenskaper när ABA är aktiverat. Även att klicka OK utan ändringar kan rensa nödvändiga inställningar. Använd alltid Microsoft Entra Connect-guiden eller PowerShell-kommandon istället.

Windows Server 2025 — känt problem

Det finns ett känt problem på Windows Server 2025 som kan orsaka synkroniseringsproblem med Microsoft Entra Connect Sync. Om du kör Windows Server 2025, se till att installera uppdateringen från oktober 2025 (KB5070773) eller senare — och starta om servern efteråt.

Microsoft bekräftade dessutom att säkerhetsuppdateringarna från september 2025 orsakade Active Directory-problem på Windows Server 2025-system. Specifikt kunde applikationer som använde AD-katalogsynkroniseringskontrollen (DirSync) resultera i ofullständig synkronisering av stora AD-säkerhetsgrupper med mer än 10 000 medlemmar. Inte kul om du har stora grupper.

Säkerhetshändelser och övervakning

Att övervaka AD-säkerhetshändelser är en viktig del av helpdesk-arbetet. Det handlar om att proaktivt identifiera potentiella problem eller säkerhetshot innan de eskalerar till något allvarligt.

Viktiga Event ID:n att övervaka

# Kontoutelåsningar (Event ID 4740)
Get-WinEvent -FilterHashtable @{LogName="Security"; Id=4740} -MaxEvents 10 |
ForEach-Object {
    [PSCustomObject]@{
        Tid = $_.TimeCreated
        Användare = $_.Properties[0].Value
        Källa = $_.Properties[1].Value
    }
}

# Misslyckade inloggningsförsök (Event ID 4625)
Get-WinEvent -FilterHashtable @{LogName="Security"; Id=4625} -MaxEvents 20 |
ForEach-Object {
    [PSCustomObject]@{
        Tid = $_.TimeCreated
        Användare = $_.Properties[5].Value
        Orsak = $_.Properties[8].Value
        KällaIP = $_.Properties[19].Value
    }
}

# Replikeringsfel i Directory Service-loggen
Get-WinEvent -LogName "Directory Service" -MaxEvents 100 |
Where-Object { $_.Id -in @(1311, 1388, 1925, 2042) } |
Select-Object TimeCreated, Id, Message | Format-List

# Osäkra LDAP-anslutningar (Event ID 2887, 2889)
Get-WinEvent -FilterHashtable @{LogName="Directory Service"; Id=@(2887,2889)} -MaxEvents 10 |
Select-Object TimeCreated, Id, Message

Snabbreferens: Kritiska Event ID:n

Här är de viktigaste Event ID:na att ha koll på:

  • 4740 — Konto utelåst
  • 4625 — Misslyckat inloggningsförsök
  • 4771 — Kerberos förautentisering misslyckades
  • 4776 — NTLM-autentiseringsförsök (lyckat eller misslyckat)
  • 1311 — Replikeringsfel i Knowledge Consistency Checker
  • 1388 — Lingering objects upptäckta
  • 1925 — Replikeringsförsök misslyckades på grund av DNS-uppslagningsfel
  • 2042 — Det har gått för lång tid sedan denna server senast replikerade
  • 2887 — Antal osäkra LDAP-bindningar under föregående period

FSMO-roller — identifiera och överföra

Active Directory har fem FSMO-roller (Flexible Single Master Operations) som är kritiska för domänens funktion. Om en domänkontrollant som innehar en FSMO-roll blir otillgänglig kan det orsaka specifika — och ibland förvirrande — problem. Som helpdesk-tekniker bör du åtminstone kunna identifiera vilka DC:er som innehar dessa roller:

# Visa alla FSMO-rollinnehavare
netdom query fsmo

# Alternativt med PowerShell
Get-ADDomain | Select-Object PDCEmulator, RIDMaster, InfrastructureMaster
Get-ADForest | Select-Object SchemaMaster, DomainNamingMaster

# Kontrollera att alla rollinnehavare svarar
$Roller = @{
    "PDC Emulator"      = (Get-ADDomain).PDCEmulator
    "RID Master"        = (Get-ADDomain).RIDMaster
    "Infrastructure"    = (Get-ADDomain).InfrastructureMaster
    "Schema Master"     = (Get-ADForest).SchemaMaster
    "Naming Master"     = (Get-ADForest).DomainNamingMaster
}

ForEach ($Roll in $Roller.GetEnumerator()) {
    $Ping = Test-Connection -ComputerName $Roll.Value -Count 1 -Quiet
    [PSCustomObject]@{
        Roll = $Roll.Key
        Server = $Roll.Value
        Tillgänglig = $Ping
    }
}

Automatiserat hälsokontrollskript

Att köra manuella kontroller är bra vid felsökning, men för proaktiv övervakning vill du ha ett automatiserat skript som regelbundet kontrollerar AD-hälsan. Här är ett kompakt PowerShell-skript som samlar de viktigaste kontrollerna på ett ställe:

# AD-hälsokontroll — Sammanfattningsskript
$Rapport = @()
$DCs = Get-ADDomainController -Filter *

ForEach ($DC in $DCs) {
    # Testa anslutning
    $Ping = Test-Connection -ComputerName $DC.HostName -Count 2 -Quiet

    # Kontrollera kritiska tjänster
    $TjanstStatus = Invoke-Command -ComputerName $DC.HostName -ScriptBlock {
        $Services = "NTDS","DNS","kdc","Netlogon","DFSR"
        $Services | ForEach-Object {
            $Svc = Get-Service -Name $_ -ErrorAction SilentlyContinue
            if ($Svc.Status -ne "Running") { $_ }
        }
    } -ErrorAction SilentlyContinue

    # Kontrollera replikering
    $ReplFel = Get-ADReplicationFailure -Target $DC.HostName -ErrorAction SilentlyContinue

    $Rapport += [PSCustomObject]@{
        DC              = $DC.HostName
        Site            = $DC.Site
        Tillgänglig     = $Ping
        StoppadeTjänster = if ($TjanstStatus) { $TjanstStatus -join ", " } else { "Inga" }
        ReplikeringsFel = if ($ReplFel) { $ReplFel.FailureCount } else { 0 }
        OS              = $DC.OperatingSystem
    }
}

$Rapport | Format-Table -AutoSize

# Exportera till CSV vid behov
$Rapport | Export-Csv -Path "C:\Temp\AD-Halsorapport-$(Get-Date -Format 'yyyyMMdd').csv" -NoTypeInformation -Encoding UTF8

Best practices och tips för helpdesk

Okej, låt oss runda av med några beprövade tips och best practices för att hantera AD-relaterade ärenden effektivare.

Systematisk felsökning

  1. Börja med det grundläggande — Kontrollera alltid DNS och nätverksanslutning först. De flesta AD-problem har sin rot i DNS-felkonfigurationer.
  2. Kontrollera händelseloggar — Börja med Directory Service-loggen och säkerhetsloggen på den berörda domänkontrollanten.
  3. Verifiera replikering — Använd repadmin /replsummary som en snabb hälsokontroll.
  4. Testa tidsynkronisering — Kerberos kräver synkroniserade klockor. Kontrollera med w32tm /query /status.
  5. Dokumentera allt — Logga dina felsökningssteg i ärendehanteringssystemet. Du kommer tacka dig själv senare.

Säkerhetstips

  • Använd aldrig Global Administrator-konton som tjänstkonton för Microsoft Entra Connect. Om den lokala servern komprometteras riskeras hela molntentanten.
  • Övervaka osäkra LDAP-bindningar — Event ID 2887 och 2889 visar klienter som använder osäkra LDAP-anslutningar, vilket bör åtgärdas.
  • Implementera kontoutelåsningspolicyer — Balansera säkerhet mot användbarhet. En policy med 5 felaktiga försök och 30 minuters utelåsning är en rimlig utgångspunkt.
  • Aktivera Kerberos-armoring — FAST (Flexible Authentication Secure Tunneling) skyddar förautentiseringsdata.

Automatisering och proaktivitet

  • Schemalägg hälsokontroller — Kör automatiserade AD-hälsokontrollskript dagligen och skicka rapporter via e-post.
  • Implementera självbetjäning — Microsoft Identity Manager eller tredjepartslösningar för lösenordsåterställning minskar helpdesk-belastningen avsevärt.
  • Skapa standardiserade runbooks — Dokumentera steg-för-steg-procedurer för vanliga AD-ärenden så att alla helpdesk-tekniker hanterar dem konsekvent.
  • Utbilda slutanvändare — Enkla guider om lösenordshantering och kontosäkerhet kan förebygga en hel del ärenden.

Sammanfattning

Active Directory-felsökning är en central kompetens för varje helpdesk-tekniker. Genom att behärska de verktyg och metoder som vi gått igenom i den här guiden — från grundläggande kontofelsökning med PowerShell till avancerad replikeringsdiagnostik med DCDiag och Repadmin — kan du snabbt identifiera och lösa de flesta AD-relaterade problem som landar på ditt bord.

Kom ihåg: DNS är nästan alltid den första platsen att titta. Tidsynkronisering är viktigare än de flesta tror. Och proaktiv övervakning med automatiserade skript kan fånga problem innan de påverkar slutanvändarna.

I hybridmiljöer med Microsoft Entra Connect är det dessutom kritiskt att hålla synkroniseringstjänsten uppdaterad — se till att ni har uppgraderat till minst version 2.5.79.0 före september 2026.

Med rätt kunskap och verktyg kan du inte bara lösa AD-problem snabbare, utan också bidra till en säkrare och stabilare IT-infrastruktur för hela organisationen.

Om Författaren Editorial Team

Our team of expert writers and editors.